доступ к программам,
файлам и командам. Кроме того, возможно
также
осуществление контрольных
функций, в частности, регистрация
попыток нарушения
доступа к ресурсам, использования запрещенных
утилит, программ, команд DOS.
Одним из удачных примеров
создания комплексного решения для
контроля доступа
в открытых системах, основанного
как на программных, так и на аппаратных
средствах защиты, стала
система Kerberos. В основе этой схемы авторизации
лежат три компонента:
База данных,
содержащая информацию по всем
сетевым ресурсам,
пользователям, паролям,
шифровальным ключам и т.д.
Авторизационный
сервер (authentication server), обрабатывающий
все
запросы пользователей на предмет получения того
или иного вида сетевых услуг.
Авторизационный сервер,
получая запрос от пользователя, обращается
к базе данных
и определяет, имеет ли
пользователь право на совершение данной
операции.
Примечательно, что пароли
пользователей по сети не передаются, что также
повышает степень зашиты
информации. Ticket-granting server (сервер
выдачи разрешений) получает
от авторизационного сервера "пропуск",
содержащий
имя пользователя и его
сетевой адрес, время запроса
и ряд других параметров, а
также уникальный сессионный
ключ. Пакет, содержащий "пропуск",
передается также
в зашифрованном по алгоритму
DES виде. После получения и расшифровки
"пропуска"
сервер выдачи разрешений
проверяет запрос и сравнивает ключи
затем дает "добро"
на использование сетевой аппаратуры или программ.
Среди других подобных комплексных
схем можно отметить разработанную
Европейской Ассоциацией
Производителей Компьютеров (ЕСМА) систему
Sesame
(Secure European System for Applications in
Mulovendor Environment),
предназначенную для использования в крупных
гетерогенных сетях.
6.3. Защита информации
при удаленном доступе.
По мере расширения деятельности
предприятий, роста численности
персонала и
появления новых филиалов,
возникает необходимость доступа
удаленных
пользователей (или групп пользователей)
к вычислительным и информационным
ресурсам главного офиса
компании. Компания Datapro свидетельствует,
что уже в
1995 году только в
США число работников постоянно
или временно использующих
удаленный доступ к компьютерным сетям, составит 25 миллионов "человек.
Чаще
всего для организации
удаленного доступа используются кабельные
линии
(обычные телефонные
или выделенные) и радиоканалы.
В связи с этим защита
информации, передаваемой
по каналам удаленного доступа, требует
особого
подхода.
В частности, в мостах
и маршрутизаторах удаленного доступа
применяется
сегментация пакетов - их
разделение и передача параллельно
по двум линиям,
что делает невозможным
"перехват" данных при незаконном
подключении "хакера"
к одной из линий. К тому же используемая при передаче данных
процедура сжатия
передаваемых пакетов
гарантирует невозможности расшифровки
"перехваченных"
данных. Кроме того, мосты
и маршрутизаторы удаленного доступа
могут быть
запрограммированы таким
образом, TO) удаленные пользователи будут ограничены
в доступе к отдельным
ресурсам сети главного офиса.
Разработаны и специальные
устройства контроля доступа к компьютерным
сетям по
коммутируемым линиям. Например,
фирмой AT&T предлагается модуль Remote Port
Security Device (PRSD), представляющий собой два блока размером
с обычный
модем: RPSD Lock (замок), устанавливаемый
в центральном офисе, и RPSD Key
(ключ), подключаемый к
модему удаленного пользователя.
RPSD Key и Lock
позволяют установить несколько
уровней защиты и контроля доступа, в частности:
-шифрование данных, передаваемых
по линии при помощи генерируемых
цифровых ключей;
-контроль доступа
в зависимости от дня недели
или времени суток
(всего 14 ограничений).
Широкое распространение
радиосетей в последние годы поставило
разработчиков
радиосистем перед необходимостью
защиты информации от "хакеров", вооруженных
разнообразными сканирующими
устройствами. Были применены разнообразные
технические решения. Например,
в радиосети компании RAM Mobil Data
информационные пакеты
передаются через разные каналы и базовые станции,
что
делает практически
невозможным для посторонних
собрать всю передаваемую
информацию воедино. Активно
используются в радио сетях и
технологии
шифрования данных при
помощи алгоритмов DES и RSA.
7. Информационные преступления – как новый криминалистический
объект
"Информационная революция"
застигла Россию в сложный
экономический и
политический период
и потребовала срочного регулирования
возникающих на ее
пути проблем. Между
тем, как известно, правовые механизмы могут быть включены
и становятся эффективными
лишь тогда, когда общественные отношения,
подлежащие регулированию,
достаточно стабилизировались.
Необходимость досрочной
разработки юридических основ информационных
отношений
привела к поспешному
и не всегда корректному формированию ряда базовых
правовых понятий в
этой области с их уточнением в
каждом следующем
нормативном акте. Понятно,
что, отойдя от главенствующего ранее
тезиса о том,
что "право - это возведенная
в закон воля господствующего
класса", нынешний
законодатель, стремясь
удовлетворить потребности всех
слоев общества, не был
слишком внимателен к
правилам законодательной техники,
что привело к
разноголосице и в
российских законах начала 90-х годов.
Сейчас, когда создан
и принят ряд базовых нормативных актов в области
информационных отношений,
наступило время для их применения
на практике.
Однако на этом пути неизбежны
пробы и ошибки, обычные для
претворения в жизнь
решений, принятых с поспешностью.
Важно, что терминологическая неточность
изложения закона или методологической рекомендации
по его исполнению может
повлечь неправильное его
применение, а, следовательно, и негативные
последствия. И если такие
ошибки, допущенные в области хозяйственных
отношений, могут быть
тем или иным образом эффективно
исправлены, ошибки в
области уголовно-репрессивной
отражаются на конституционных правах
и свободах
конкретных граждан
и носят необратимый характер.
В соответствии с действующим
законодательством информационные
правоотношения
- это отношения, возникающие
при формировании и использовании информационных
ресурсов на основе создания,
сбора, обработки, накопления, хранения,
поиска,
распространения и предоставления
потребителю документированной
информации;
создании и использовании
информационных технологий и средств их обеспечения;
защите информации, прав
субъектов, участвующих в информационных
процессах и
информатизации (Федеральный
закон "Об информации, информатизации
и защите
информации").
Правовое регулирование
информационных правоотношений осуществляется
рядом
сравнительно новых актов, в том числе и
федеральными законами: Законом РФ от
23 сентября 1992 г. No. 3523-1 "О
правовой охране программ для
электронных
вычислительных машин
и баз данных", Законом РФ от
9 июля 1993 г. No. 5351-1
"Об авторском праве
и смежных правах" (с изменениями от 19 июля 1995
г.),
Федеральным законом
от 16 февраля 1995 г. No. 15-ФЗ "О связи",
Федеральным
законом от 20 февраля 1995
г. No. 24-ФЗ "Об информации, информатизации
и
защите информации",
Федеральным законом от 4 июля 1996
г. No. 85-ФЗ "Об
участии в международном
информационном обмене".
Ряд важных положений, относящихся
к регулированию в этой области,
содержится
и в Законе РФ от 21 июля
1993 г. No. 5485-1 "О государственной
тайне",
Федеральном законе от 29
декабря 1994 г. No. 77-ФЗ "Об обязательном
экземпляре документов",
Законе РФ от 9 июля 1993 г. No. 5351-1 "Об авторском
праве и смежных правах"
(с изменениями от 19 июля 1995 г.), и
некоторых
других актах.
Важным шагом вперед
является признание новым Гражданским
кодексом информации
в качестве объекта гражданских
прав (ст. 128 Гражданского кодекса РФ).
Анализ действующего
законодательства показывает, что:
1. Информацией является
совокупность предназначенных для
передачи
формализованных знаний
и сведений о лицах, предметах, фактах,
событиях,
явлениях и процессах
независимо от формы их представления
(Федеральный закон
"Об информации, информатизации
и защите информации").
2. Правовой защите
подлежит любая документированная
информация, т.е.
информация, облеченная
в форму, позволяющую ее идентифицировать (Федеральный
закон "Об информации,
информатизации и защите информации").
3. Документированная
информация является объектом
гражданских прав и имеет
собственника.
4. Информация может
быть конфиденциальной, ознакомление
с которой
ограничивается ее собственником или в соответствии
с законодательством, и
массовой, предназначенной
для неограниченного круга лиц
(Федеральный закон
"Об информации, информатизации
и защите информации").
5. Ограничения (установление
режима) использования информации
устанавливаются
законом или собственником
информации, которые объявляют степень
(уровень) ее
конфиденциальности.
Конфиденциальными в
соответствии с законом являются,
в частности, такие виды