Пароль может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.
Учитывая важность пароля как средства повышения безопасности информации, следует соблюдать некоторые меры предосторожности, в том числе:
· не хранить пароли в вычислительной системе в незашифрованном виде;
· не печатать и не отображать пароли в явном виде на терминале пользователя;
· не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы и др.);
· не использовать реальные слова из энциклопедии или толкового словаря;
· выбирать длинные пароли;
· использовать смесь символов верхнего и нижнего регистров клавиатуры;
· использовать комбинации из двух простых слов, соединенных специальными символами(например, +, = и др.);
· придумывать новые слова (абсурдные или даже бредового содержания);
· чаще менять пароль.
Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др.
Широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах; пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой; пластиковые карты с встроенной микросхемой (smart-card); карты оптической памяти и др.
Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации – установление подлинности документов на основе электронной цифровой подписи – ныне простирается от проведения финансовых и банковских операций до контроля за выполнением различных договоров. Естественно, при передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.
Электронная цифровая подпись представляет собой способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения.
Криптографическое преобразование – один из наиболее эффективных методов, резко повышающих безопасность:
§ передачи данных в компьютерных сетях;
§ данных, хранящихся в удаленных устройствах памяти;
§ информации при обмене между удаленными объектами.
Криптография известна с древнейших времен, однако она всегда оставалась привилегией исключительно правительственных и военных учреждений. Изменение ситуации связывается с публикацией в 1949 г. книги К. Шеннона по теории информации и кибернетике, когда к криптографическим методам преобразования информации обратились многие ученые, банковские и коммерческие системы.
Защита информации методом криптографического преобразования заключается в приведении ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ – это изменяемая часть криптографической системы, хранящаяся в тайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.
Для преобразования (шифрования) используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Само же управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать данные. Однако без знания ключа эта процедура может оказаться практически невыполнимой даже при использовании компьютера.
Требования к методам криптографии следующие :
ü достаточная устойчивость к попыткам раскрытия исходного текста на основе зашифрованного;
ü обмен ключа не должен быть труден для запоминания;
ü затраты на защитные преобразования должны быть приемлемы при заданном уровне сохранности информации;
ü ошибки в шифровании не должны приводить к явной потере информации;
ü длина зашифрованного текста не должна превышать длину исходного текста.
Существуют несколько методов защитных преобразований, которые можно подразделить на четыре основные группы: перестановки, замены (подстановки), аддитивные и комбинированные методы.
Для методов перестановки и замены (подстановки) характерна короткая длина ключа, а надежность защиты определяется сложностью алгоритмов преобразования и, наоборот, для аддитивных методов характерны простые алгоритмы и длинные ключи.
Названные четыре метода криптографического преобразования относятся к методам симметричного шифрования, т.е. один и тот же ключ используется и для шифрования, и для дешифрования. В методах несимметричного шифрования для шифрования применяется один ключ, называемый открытым, а для дешифрования другой – закрытый.
Основными методами криптографического преобразования считаются методы перестановки и метод замены. Суть первого метода заключается в разбиении исходного текста на блоки, а затем записи этих блоков и чтении шифрованного текста по разным путям геометрической фигуры, например запись исходного текста по строкам матрицы, а чтение – по ее столбцам.
Шифрование методом замены заключается в том, что символы исходного текста (блока), записанные в одном алфавите, заменяются символами другого алфавита в соответствии с принятым ключом преобразования.
Комбинация этих методов породила так называемый производный шифр, обладающий сильными криптографическими возможностями. Комбинированый метод принят в США в качестве стандарта для шифрования данных, а также в отечественном ГОСТе 28147–89. Алгоритм метода реализуется как аппаратно, так и программно, но базовый алгоритм рассчитан на реализацию с помощью электронных устройств специального назначения, что обеспечивает высокую производительность и упрощенную организацию обработки информации.
ЗАКЛЮЧЕНИЕ
В интегрированных и локальных системах обработки данных с использованием разнообразных технических средств, включая компьютерные, под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения надежности передаваемой, хранимой и обрабатываемой информации.
Защитить информацию – это значит:
ü обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;
ü не допустить подмены (модификации) элементов информации при сохранении ее целостности;
ü не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
ü быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.
Процессы по нарушению надежности информации можно классифицировать на случайные и злоумышленные (преднамеренные). В первом случае источниками разрушительных, искажающих и иных процессов являются непреднамеренные, ошибочные действия людей, технические сбои и др.; во втором случае – злоумышленные действия людей. Однако независимо от причин нарушения надежности информации это чревато самыми различными последствиями.
СПИСОК ЛИТЕРАТУРЫ
1. Гмурман А.И. Информационная безопасность. М.: «БИТ-М», 2004 г.
2. Дъяченко С.И. Правовые аспекты работы в ЛВС. СП-б, «АСТ», 2002 г.
3. Доктрина информационной безопасности РФ /от 9 сентября 2000 г. №ПР–1895
4. Îá èíôîðìàöèè, èíôîðìàòèçàöèè è çàùèòå èíôîðìàöèè: Ôåäåðàëüíûé Çàêîí // Ðîññèéñêàÿ ãàçåòà. - 1995. - 22 ôåâðàëÿ.
5. О правовой охране программ для электронных вычислительных машин и баз данных: Закон РФ от 23 сентября 1992 г. N 3523-I (с изменениями от 24 декабря 2002 г., 2 ноября 2004 г.)
Страницы: 1, 2, 3, 4, 5
