Побудова раціонального захисту інформаційних ресурсів

Слід зазначити, що захист системи не може бути абсолютним. Він і не повинен будуватися як абсолютний. Це вимагало б істотного збільшення витрат на її створення й експлуатацію, а також неминуче призвело б до зниження продуктивності системи по основних виробничих функціях. Захист повинен будуватися як раціональний, тобто з оптимальними за деяким критерієм характеристиками, що завжди становить предмет самостійного дослідження.

Загрози інформації, що обробляється в ІС залежать від характеристик (властивостей) ІС, фізичного середовища, персоналу й інформації, що обробляється. Загрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т.п.) або відмова елементів ІС, або суб'єктивну, наприклад, помилки персоналу або дії зловмисника. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними. Навмисні загрози – це задумані заборонені дії людей, спрямовані на доступ до відомостей, що зберігаються в інформаційній системі. Навмисна спроба реалізації загрози називається атакою.

Випадкові загрози можуть виникати від таких джерел, як помилки в діяльності персоналу, збої устаткування та стихійні лиха. Частота виникнення випадкових загроз значно вища, ніж навмисних.

З усієї безлічі способів класифікації загроз найбільш придатною для аналізу є класифікація загроз за результатом їх впливу на інформацію. Інформація має ряд властивостей, які безпосередньо визначають її цінність. У контексті проблеми забезпечення безпеки інформації основоположними властивостями інформації є:

– конфіденційність,

– цілісність,

– доступність.

Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.

Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення).

Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або її модифікації відповідно до встановлених правила на протязі будь-якого певного (малого) проміжку часу.

Загрози, реалізація яких призводить до втрати інформацією якої-небудь з названих властивостей, відповідно являють собою загрози конфіденційності, цілісності або доступності.

– загроза конфіденційності, – перехоплення інформації

– загроза цілісності, – викривлення або руйнування інформації

– загроза доступності, – блокування доступу до інформації

Загрози можуть впливати на інформацію не безпосередньо, а опосередковано. Наприклад, втрата ІС керованості може привести до нездатності ІС забезпечувати захист інформації і, як результат, до втрати певних властивостей інформації, що обробляється.

Головна мета захисту інформації - контроль за доступом до неї. До перегляду, створення, видалення або зміни даних повинні допускатися тільки особи, що мають необхідні повноваження.

Захист від небезпек вимагає особливої ретельності. Так, деякі прийоми по запобіганню піратству безсилі протистояти, наприклад, розкраданню, хоча ретельна перевірка може виявити і те, й інше. Для зменшення імовірності виникнення багатьох небезпек можна вжити непогані превентивні заходи. Наприклад, система паролів може зменшити або виключити наслідки недбалості, підміни даних, розкрадання і т. д. з боку несанкціонованих користувачів, але разом з тим вона не зможе протистояти таким же небезпекам, що виходять від легальних користувачів.

Крім того, небезпечна ситуація може мати як випадковий, так і детермінований характер.

Дослідження, яке проводили Executive Information Network, стосується вірогідності виникнення різних загроз безпеки. Відповідно наданому звіту, нещасні випадки та помилки складають 55% усіх загроз безпеки, недобросовісність - 15%, помста - 10%.

Прийнято так класифікувати всі загрози за їх впливом на основні критерії захисту інформації.

Апаратні збої

Загроза: конфіденційності, цілісності, доступності

Запобігання: неможливе

Виявлення: в ряді випадків нескладне

Частота: висока, для оцінки використовується показник MTBF (mean time between failure - напрацювання на відмову).

Апаратний збій може порушити конфіденційність, якщо він відбувається в пристрої управління доступом або відновлення працездатності вимагає зниження рівня захисту.

Апаратний збій може нанести збиток цілісності. У разі відмови жорсткого диска ви ризикуєте втратити інформацію. Але іноді навіть така незначна відмова, як збій однієї з мікросхем пам'яті, може призвести до втрати інформації, якщо він стався, наприклад, під час копіювання.

Доступність також може постраждати від апаратного збою.

Віруси

Загроза: цілісності, доступності

Запобігання: може бути складним

Виявлення: звичайно очевидне

Частота: в 1993 р. в Сполучених Штатах кожна з 500 машин була заражена

Наслідки: потенційно дуже великі, але на практиці набагато менш сумні

Віруси можуть замінити терористів, коли будуть наносити збитки і при цьому не залишаючи слідів, за якими можна було б виявити організатора акції.

Диверсії

Загроза: цілісності, доступності

Запобігання: вельми ускладнене

Виявлення: або дуже простої, або дуже складне

Частота: невідома, мабуть, не дуже часто

Наслідки: потенційно дуже великі

Диверсія (sabotage) в більшості випадків виражається в формі фізичного або логічного пошкодження. Якщо злочинець має доступ до комп'ютера, то йому дуже легко нанести фізичне пошкодження. Зловмисник може прострелити, висадити, підпалити, розібрати або утопити комп'ютер. Крім того, він може відключити живлення при виконанні критичної дискової операції. Вживання запобіжних заходів, що гарантують фізичну безпеку системи, допоможе уникнути фізичних диверсій подібного роду.

Випромінювання

Загроза: конфіденційності

Запобігання: дуже складне, потрібне застосування TEMPEST-подібного захисту. TEMPEST призначається для вивчення і контролю наведених електронних сигналів, що випромінюються обладнанням автоматизованої обробки даних

Виявлення: неможливе

Частота: невідома

Наслідки: потенційно дуже великі

Випромінювання (emanations), - це випускання електромагнітних сигналів, що є одним із слабких місць в комп'ютерному захисті. Як кабелі, так і пристрої, що підключаються за їх допомогою (комп'ютери, принтери, модеми, монітори, клавіатури, перехідники, підсилювачі і розподільні коробки) випромінюють певні сигнали. Озброївшись чутливою антеною, можна на відстані прочитати дані навіть при незначному рівні випромінювання.

Імітація і моделювання

Загроза: може змінюватися

Запобігання: неможливе

Виявлення: по-різному

Частота: невідома

Наслідки: потенційно дуже великі

Готові програмні продукти призначені для використання в добрих цілях, і, як правило, так вони і використовуються. Однак альтернативне застосування також можливе. Наприклад, один графічний пакет надавав користувачеві можливість ввести приблизні дані, подивитися, який виходить графік, а потім, змінюючи графік, змінити дані. Розкрадач може скористатися таким інструментом для того, щоб побачити, скільки він може викрасти без загрози виявлення пропажі на графіку ефективності виробництва.

Копію бухгалтерської програми можна використати для визначення того, скільки проводок треба додати, щоб приховати недостачу.

Крадіжка

Загроза: конфіденційності, цілісності, доступності

Запобігання: вельми складне

Виявлення: вельми складне

Частота: невідома

Наслідки: потенційно дуже великі

Найчастіше найбільші побоювання викликає можливість викрадання обладнання. Хоча це не є комп'ютерний злочин, але він являє певну проблему для спеціаліста, що відповідає за комп'ютерну безпеку.

Коли зникає комп'ютер, зникає й інформація. Для того, щоб викрасти інформацію, не потрібно викрадати комп'ютер. Достатньо просто скопіювати потрібну інформацію на дискету.

Цілісність наражається на небезпеку тільки в тому випадку, коли здійснюється крадіжка єдиної копії інформації, наприклад крадіжка архівної стрічки, серверу або комп'ютера, на якому не виконувалося резервне копіювання.

Безпека має на увазі захист апаратного забезпечення, програм і файлів від ненавмисного або умисного пошкодження, однаково як і від крадіжки. З цих трьох небезпек ненавмисне пошкодження має найбільш катастрофічні наслідки, тоді як частіше за все побоюються крадіжки. Звичайно у якості потенційних грабіжників розглядаються сторонні, але практика показує, що від них може виходити загроза не більше ніж у 5% випадків. Набагато частіше як ненавмисні, так і навмисні пошкодження наносяться службовцями організації.

Ще один вид крадіжки – це крадіжка послуг, яка може проявлятись у різних формах – від гри на службовому комп'ютері до таємного надання таких самих послуг, що їх здійснює організація.

Крадіжка інформації може залишатися непоміченою. Для службовця немає нічого складного в тому, щоб скопіювати файл на дискету, покласти її в свій кейс і віднести додому.

Логічні бомби

Загроза: цілісність; крім того, може зачіпати доступність і конфіденційність

Запобігання: практично неможливе

Виявлення: може бути складним

Частота: невідома, але швидше усього не дуже часто

Наслідки: потенційно дуже великі

Логічна бомба - це модифікація комп'ютерної програми, внаслідок якої дана програма може виконуватися декількома способами в залежності від певних обставин. При перевірці в звичайних умовах бомба ніяк не виявляється, але при певній події програма працює по алгоритму, відмінному від заданого.

Логічні бомби можуть використовуватися для розкрадання. Наприклад, програміст може додати до програми нарахування заробітної плати код, що злегка підвищує його платню (тут приводиться псевдокод, не пов'язаний із застосуванням якої-небудь певної мови програмування):

IF Співробітник =Я THEN Зарплата = Години * Ставки * 1.01 ELSE Зарплата = Години * Ставки.

Така зміна коду може залишатися непоміченою протягом багатьох років. Крім того, логічні бомби можуть застосовуватися і для видалення файлів. Наприклад, робоча таблиця може містити макрос, що автоматично виконується, який містить такий псевдокод:

@ЯКЩО(СЬОГОДНІ^@ДАТА(10,10,1), СТЕРТИ ТАБЛИЦЮ.НІЧОГО НЕ РОБИТИ)

Така команда може стерти таблицю 1-го жовтня 2010 року або в подальші дні і обов'язково зробить це. Причому в усі попередні дні цей макрос може виконуватися безліч разів без будь-яких ознак бомби, що міститься в йому.

Логічні бомби можуть створюватися з єдиною метою - зміна даних випадковим чином. У цьому випадку автор не має ніякої користі зі свого витвору, а лише наносить збиток організації. Наприклад, зміна значення в одному елементі таблиці може надати руйнівного впливу на результати прогнозів або аналізів, що впливають на майбутнє організації.

Крім того логічні бомби можуть застосовуватись і для видалення файлів.

Мережні аналізатори

Загроза: конфіденційності

Запобігання: неможливе

Виявлення: дуже складне або неможливе

Частота: невідома, але відбувається все частіше

Наслідки: потенційно дуже великі

Використовуючи апаратні та програмні засоби, мережні аналізатори можуть зчитувати будь-які параметри потоку даних, включаючи будь-який незашифрований текст. Хоча можна уникнути наслідків від застосування аналізаторів шляхом шифрування паролів, електронної пошти та файлів, тим не менш, виявити працюючі аналізатори неможливо. Будь-який користувач у мережі Token Ring за допомогою аналізатора може відслідковувати весь потік інформації. Оскільки такий користувач не додає нових компонент до мережі, не буде помітно якихось змін в електричному опорі або інших параметрах під час його роботи.

Навмисне ушкодження даних або програм

Загроза: цілісності

Запобігання: може бути ускладненим

Виявлення: може бути досить ускладненим

Частота: невідома, але, скоріш за все, не дуже часто

Наслідки: потенційно дуже великі

Навмисне руйнування практично ніколи неможна попередити. Такі злочини скоюються незадоволеними працівниками яких нещодавно звільнили.

Недбалість

Загроза: конфіденційності, цілісності, доступності

Запобігання: дуже важке

Виявлення: іноді легко, іноді важко

Частота: найбільш поширений ризик

Наслідки: потенційно дуже тяжкі

Найпоширенішим джерелом нещастя в будь-якій комп'ютерній системі є невмілі користувачі. Деякі експерти запевняють, що 50-60% щорічних комп'ютерних втрат стаються внаслідок недбалостей, що іменуються також помилками людини, випадковостями, помилками, виявами некомпетентності.

Для того щоб справитися з недбалістю, треба зменшувати уразливість системи, поліпшувати підготовку фахівців і забезпечувати компетентну технічну підтримку всім користувачам.

Неможливість використання

Загроза: продуктивності

Запобігання: ускладнене

Виявлення: може бути ускладнене

Частота: невідома

Наслідки: потенційно великі

Неможливість використання комп'ютерів у обробці і вводі даних для роботодавця часто означає значне уповільнення швидкості реалізації проектів. Неможливість використання може виникнути у вигляді побічного ефекту від спроби запобігання загрози небезпеки.

Неправильна маршрутизація

Загроза: конфіденційності

Запобігання: ускладнене

Виявлення: може бути досить простим

Частота: невідома, можливо досить часто

Наслідки: потенційно дуже великі

Неправильна маршрутизація виникає, коли в мережі декілька комп'ютерів мають однакові або подібні імена. Однакові імена є наслідком сліпого слідування інструкції при встановленні. Може трапитись так, що працюючи із термінальним сервером, що накопичує інформацію про останні підключення та автоматично здійснює доповнення імені, користувач набере скорочене ім'я одного комп'ютера, але попаде на інший, ім'я якого починається з тих самих літер.

Неточна або застаріла інформація

Загроза: цілісності, законності або етиці

Запобігання: може бути вельми складним

Виявлення: може бути вельми складним

Частота: висока

Наслідки: потенційно дуже великі

При обговоренні різних видів небезпек, яких зазнає комп'ютерна система, забувають про такий недолік, як недоброякісність інформації. Однак характерною особливістю проблеми захисту є постійна необхідність повного знищення такої інформації. Інформація стає недоброякісною через те, що вона застаріла або були отримані більш точні дані.

Проблема може бути вирішена шляхом використання реляційних баз даних. Практично не існує очевидних і недорогих методів, що ґарантують правильність занесення інформації у базу даних. Один із найкращих способів досягнення прийнятної точності полягає в тому, щоб інформація вводилась двічі. При цьому кожна з цих операцій повинна здійснюватись двома різними низькооплачуваними працівниками. Після вводу інформації редактор може за допомогою спеціальної програми порівняти отримані файли, виявити ті місця, в яких вони відрізняються, та вручну внести виправлення.

Помилки програмування

Загроза: конфіденційності, цілісності, доступності

Запобігання, неможливе

Виявлення, іноді досить складно

Частота, висока

Наслідки: потенційно дуже великі

Програмісти при написанні програм можуть помилятись. У неперевіреному коді на кожні 50 – 60 рядків припадає, як мінімум одна помилка. Процес видалення помилок, – відлагодження, – дозволяє позбутися багатьох з них, але ніколи не можна бути впевненим, що виловлено всі помилки.

Збої програмного забезпечення можуть мати різний характер. Одна з проблем полягає в тому, що збій в програмі, що коректно працює в нормальних умовах, може виявитися тільки у разі нештатної ситуації. Звичайно такі помилки не є наслідком злого наміру.

Перевантаження

Загроза: доступності

Запобігання: вельми ускладнене

Виявлення: просте

Частота: невідома, дуже часто зустрічається в нових системах, що рідко використовуються

Наслідки: потенційно дуже великі

При великих навантаженнях зламається все, що можна.

Коли система перевантажується, безпека мережі зазнає ризику. Наприклад, при уповільненні роботи мережі деякі програмісти намагаються зареєструватися одночасно на двох машинах, щоб займатися написанням коду на одній машині в той час, коли на другій виконується інша робота (наприклад, компіляція програми). Для того щоб це забезпечити, адміністратор мережі повинен дозволити реєстрацію одночасно на декількох комп'ютерах. Після цього ніхто не зможе визначити напевно, чи працює за комп'ютером програміст або хтось інший підключився до мережі, використовуючи його пароль. Уповільнення роботи мережі спричиняє зниження безпеки.

Те, що спрацьовує в тестових умовах, може відмовити при підвищеному навантаженні.

Перехоплення

Загроза: конфіденційності

Запобігання: просте при використанні шифрування, в решті випадків неможливе

Виявлення: складне або неможливе

Частота: невідома

Наслідки: потенційно дуже великі

Перехоплення може виконуватись як із застосуванням елементарних затискачів типу “крокодил”, так і шляхом спостереження за випромінюванням або супутниковими передачами за допомогою антен. Випадки перехоплення найчастіше залишаються невиявленими.

Перешкода використанню

Загроза: доступності

Запобігання: дуже складне

Виявлення: дуже легке

Наслідки: потенційно дуже тяжкі

Перешкода використанню – зовсім новий комп'ютерний злочин. У нього входять “засмічування” системи непотрібними даними, “забивання” портів, вивід на екран беззв'язної інформації, зміна імен файлів, стирання ключових програмних файлів або захоплення системних ресурсів, який несе в собі уповільнення роботи системи. Якщо інформація, яка обробляється системою стала недоступною, то у фірми виникають певні труднощі. Якщо ж ця інформація важлива, а часу не має, то труднощі можуть стати просто величезними.

Піггібекінг

Загроза: конфіденційності, цілісності, доступності

Запобігання: вельми ускладнене

Виявлення: вельми ускладнене

Під електронним піггібекінгом розуміється отримання доступу після того, як інший користувач, що ввів пароль та підключився до системи, некоректно завершив сеанс роботи. Електронні піггібекери можуть використовувати або основний термінал, що залишився без нагляду, або додатковий, нелегально підключений до того ж кабеля. Крім того, вони можуть проникнути у систему після того, як легальний користувач завершив сеанс роботи, але не відключився від системи.

Пожежі та інші стихійні лиха

Загроза: цілісності, доступності

Запобігання: ускладнене

Виявлення: просте

Частота: невідома

Наслідки: потенційно дуже великі

Пожежі та інші стихійні лиха розглядаються як випадки, що ведуть до значних фінансових втрат. Якщо навіть сама пожежа і не ушкодила комп'ютерну систему, то це можуть зробити жар його полум'я, дим або вода, яку використовували для гасіння. Завжди можна підготуватись до такого роду катастроф, але, як правило, така підготовка ведеться поверхнево.

Потайні ходи та лазівки

Загроза: конфіденційності, цілісності, доступності

Запобігання: дуже складне

Виявлення: дуже складне

Частота: невідома

Наслідки: потенційно дуже великі

Потайний хід – це додатковий спосіб проникнення у систему, часто навмисно створений розробником мережі, хоча іноді може виникнути випадково. Лазівка – різновид потайного хода. Так звичайно називають допоміжні засоби, які програмісти використовують при створенні, тестуванні або підтримці складних програм. Натиснувши в потрібний момент певну клавішу, можна обійти захист або пастку, що передбачено програмою.

Різні версії

Загроза: цілісності

Запобігання: складне

Виявлення: складне

Частота: поширено

Наслідки: потенційно дуже великі

На одному комп'ютері може зберігатись кілька версій програм або документів. Не можна вирішити проблему кількох версій видаленням старих при створенні або встановленні нових. Стосовно програмного забезпечення, не потрібно видаляти попередні версії доти, доки не буде встановлено, що нова працює не гірше, коректно зчитує старі файли, не містить суттєвих помилок. Програмісти часто використовують декілька версій створюваного ними коду. Якщо вони виявлять помилки, то у них може виникнути необхідність повернутись до попереднього варіанту, щоб усунути їх або почати все спочатку. Письменники часто редагують один і той самий документ у різних стилях для різних видавництв.

Розкрадання

Загроза: цілісності та ресурсам

Запобігання: ускладнене

Виявлення: може бути ускладненим

Частота: невідома

Наслідки: потенційно дуже великі

Розкрадання звичайно стосується внутрішньої роботи, коли крадіжка грошей або послуг працедавця здійснюється його ж працівником. Розкрадання є одним з найпоширеніших комп'ютерних злочинів. Найлегшим способом, до якого вдаються зловмисники при розкраданні даних, є їх підміна, – процес зміни даних перед введенням або під час введення. Завдяки цьому дуже поширеному, простому та безпечному способу, працівники можуть збільшити розмір своєї заробітної платні, робити внески на власні банківські рахунки, заволодіти казенним майном або ж замести сліди шахрайства з грошима та матеріальними цінностями.

Самозванство

Загроза: конфіденційності, цілісності, доступності

Запобігання: досить ускладнене

Виявлення: досить ускладнене

Частота: невідома

Наслідки: потенційно дуже великі

Самозванство – це використання коду доступу іншої людини для проникнення у систему з метою вивчення даних, використання програм або комп'ютерного часу. Застосування складних пристроїв для надання доступу за біометричними характеристиками зменшує можливість видати себе за іншу людину, але їх застосування не завжди можливе.

Спотворення

Загроза: конфіденційності, законам чи етиці

Запобігання: можливі труднощі

Виявлення: може бути ускладнене

Частота: невідома, але, скоріш за все не дуже часто

Наслідки: потенційно великі

Спотворення – це використання комп'ютера для введення в оману або залякування з певною метою. Агент може показати клієнту пачку роздруківок, в яких ніби міститься перелік його клієнтів, хоча насправді їх в нього мало.

Суперзаппінг

Загроза: конфіденційності, цілісності, доступності

Запобігання: досить складно

Виявлення: досить складно

Частота: невідома

Наслідки: потенційно дуже великі

SUPERZAP – це утиліта, яка є у багатьох великих комп'ютерних системах. Вона дозволяє оператору запускати, зупиняти або модифікувати процедуру, яка дала збій.

Суперзаппінг – це несанкціоноване використання якихось утиліт для модифікації, знищення копіювання, вставки, застосування або заборони застосування комп'ютерних даних. Ніякими програмними засобами суперзаппінг звичайно виявити неможливо. Крім того, навіть використовуючи системні журнали великих ЕОМ, міні-комп'ютерів або мереж, довести суперзаппінг дуже складно, оскільки порушник може відредагувати ці журнали. Для окремих мікрокомп'ютерів такий доказ практично нереальний.

Троянські коні

Загроза: конфіденційності, цілісності, доступності

Запобігання: досить складно або неможливо

Виявлення: може бути досить складним

Частота: невідома

Наслідки: потенційно дуже великі

Троянський кінь – це будь-яка програма, яка замість виконання дій, для яких вона ніби призначена, на самому ділі виконує інші. Троянський кінь може виконувати самі різні операції, як і будь-яка інша програма, включаючи зміну баз даних, записування у платіжні відомості, відправлення електронної пошти або знищення файлів.

Фальсифікація

Загроза: цілісності та іншим ресурсам

Запобігання: може бути ускладнене

Виявлення: може бути ускладнене

Частота: невідома

Наслідки: потенційно дуже великі

Фальсифікація – це протизаконне виготовлення документів або записів, виконане з метою використання їх замість дійсних, офіційних документів або записів. Деякі видавничі системи зробили комп'ютер дуже добрим інструментом для фальсифікацій.

Шахрайство

Загроза: цілісності

Запобігання: ускладнене

Виявлення: ускладнене

Частота: невідома

Наслідки: потенційно дуже великі

Шахрайство – це будь-яке використання інформаційної системи при спробі обману організації або отриманні її ресурсів. Для виявлення шахрайства після виявлення користувачів, що намагались несанкціоновано доступитись до системи, можна встановити спостереження за легальними користувачами, щоб попередити визначення стиля роботи або таких характеристик трансакцій, як кількість, час, частота виконання, значення та математична точність. Крім того, можна накопичувати інформацію про модифікацію програм, файлів та системних журналів.

 

Інформаційні системи є складними і комплексними, тому вибір навіть раціонального ступеня захищеності є складною проблемою як, наприклад, проблема поліоптимізації або векторної оптимізації. Можливі й спрощені підходи з урахуванням конкретних особливостей завдання. Для ілюстрації нижче наводиться приклад аналізу умов раціонального захисту інформації в базах даних від зловмисного перекручування або псування.

Передбачається, що проблема захисту зібраної регулярно на підприємстві інформації виникає тоді, коли ставиться завдання забезпечення гарантованої схоронності даних, що містяться в базах даних, від осіб, що хочуть її порчі.

Розв’язання задачі раціональної захищеності даних може досягатися, наприклад, за рахунок введення системи паролів, використання криптографічних методів захисту інформації, установлення власних командних процесорів, завантажників, створення й завантаження резидентних програм, що перехоплюють переривання й обробну команду від користувача з наступним її блокуванням, якщо команда виявиться забороненої для даної системи. Можливо також використання установки власного головного завантажувального запису (MBR) на жорсткому диску.

Стосовно до умов охорони даних від активних спроб їх викрадення або псування з урахуванням аналізу особливостей завдання визначається такий перелік заходів по забезпеченню захисту інформації:

· аутентифікація користувача по паролю й, можливо, по ключовій дискеті або апаратному ключі;

· розмежування доступу до логічних дисків;

· прозоре шифрування логічних дисків;

· шифрування файлів з даними;

· дозвіл запусків тільки строго визначених для кожного користувача програм;

· реакція на несанкціонований доступ;

· реєстрація всіх спроб несанкціонованого доступу в систему й входу/виходу користувача в систему;

· створення багаторівневої організації роботи користувача з розширенням надаваних можливостей при переході на більше високий рівень;

· надання користувачеві мінімуму необхідних йому функцій.

Найбільш ефективними системами захисту є ті, розробка яких ведеться паралельно з розробкою інформаційної структури, яку вона захищає. При створенні систем захисту прийнято дотримуватися таких принципів:

1) постійно діюча заборона доступу; у механізмі захисту системи в нормальних умовах доступ до даних повинен бути заборонений, заборона доступу за відсутності особливих настанов забезпечує високий ступінь надійності механізму захисту;

2) простота механізму захисту; ця характеристика необхідна для зменшення числа можливих неврахованих шляхів доступу;

3)перекриття всіх можливих каналів витоку, для чого повинні завжди й гарантовано перевірятися повноваження будь-якого звертання до будь-якого об'єкта в структурі даних; цей принцип є основою системи захисту. Задача управління доступом повинна розв’язуватися на загальносистемному рівні, при цьому необхідно забезпечувати надійне визначення джерела будь-якого звертання до даних;

4)незалежність ефективності захисту від кваліфікації потенційних порушників;

5)поділ повноважень у сфері захисту й доступу, тобто застосування кількох різних ключів захисту;

6)надання мінімальних повноважень;

7)максимальна відособленість механізму захисту; для виключення передачі користувачами один одному відомостей про систему захисту рекомендується при проектуванні захисту мінімізувати число загальних для кількох користувачів параметрів і характеристик механізму захисту;

8)психологічна привабливість захисту, для чого теж важливо домагатися, щоб захист був по можливості простий в експлуатації.

При побудові систем захисту, заснованих навіть не на всіх, а тільки на деяких з перерахованих вище принципів, виникають серйозні перешкоди, пов'язані з великими витратами на їхню реалізацію. У зв'язку із цим захист повинен бути не абсолютним, а тільки раціональним, тобто з самого початку треба передбачати в прийнятному ступені можливість зловмисного проникнення в базу даних.

Активність зазіхань, класифікація викрадачів, характеристики потоку зазіхань, збиток від втрати або псування кожного з елементів інформаційної структури, набір варіантів способів захисту, їхня міцність і вартість одного сеансу захисту тим або іншим способом - усі ці дані потрібно задати або визначити тим чи іншим шляхом.

Оцінювання можливих сумарних витрат, пов'язаних з функціонуванням системи захисту бази даних, включає сумарну вартість Z роботи всіх способів захисту в усіх можливих їх наборах застосовно до всіх частин бази даних і суму можливих втрат П, щовиникають при проникненні викрадачів через всі способи захисту в різних їх сполученнях до всіх частин бази даних; ця оцінка визначиться формулою

SUM = Z + П.

З урахуванням того, що складові Z й П в залежності від ступеня захищеності бази даних змінюються протилежно, величина SUM може мати мінімум при деякій комбінації варіантів способів захисту частин бази даних. У зв'язку із цим для побудови раціональної структури системи захисту необхідно її мінімізувати, тобто

SUM = Z + П => min.

Пошук рішення може здійснюватися різними методами, наприклад можна шукати рішення у множині варіантів комбінацій ступенів захисту, тобто шляхом перебору їх можливих наборів для множини частин бази даних вкладеними циклами по варіантах допустимих способів захисту. Таким шляхом будуть визначені індекси захисту для кожної з частин бази даних, яку захищають, що дасть для кожної складової один конкретний метод або сукупність кількох методів захисту.

Такий підхід дозволяє підібрати найдешевший із прийнятних способів захисту для кожної з частин, при якому загальна сума витрат, пов'язаних з функціонуванням захисту, і втрат, що виникають при несанкціонованому доступі, буде мінімальною.

Аналогічно можна поставити й розв’язати задачу вибору варіанта структури системи захисту в більш складних умовах, виконавши повномасштабний проект такої системи при відповідних витратах на його виконання. Якщо інформація в базі даних варта того, щоб її захищати, то й на створення системи захисту прийдеться витратити відповідні кошти.