Методы защиты информации от несанкционированного доступа и копирования
Реферат
По________________________________________
__________________________________________
по теме: Методы защиты информации от_______
__несанкционированного доступа и копирования
Выполнил:
Студент __ПИЭ__________ факультета
II курса _321________________группы
_____Ермаковой А. О.______________
Ф.И.О
Проверил __Рычков В. А.____________
__________________________________
Ф.И.О. преподавателя, звание, степень
г. Кисловодск
2005г.
Введение………………………………………………………………………………………………………………………..4
1. Комплексный подход к обеспечению информационной безопасности
1.1 Основные понятия…………………………………………………………………………………………………….5
1.2. Программные и программно-аппаратные средства обеспечения безопасности информации……………………………………………………………………………………………………………………7
1.3. Требования к комплексным к комплектным система защиты информации ………………8
2.МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ ………………………………………………………………………..9
2.1. Криптографические методы………………………………………………………………..9
2.1.1.Системы с открытым ключом ……………………………………………………………9
2.1.2.Электронная подпись…………………………………………………………………….10
2.2.Метод парольной защиты …………………………………………………………………13
2.4.Административные меры защиты…………………………………………………………14
3. Защита корпоративной информации………………………………………………………………………….15
ЗАКЛЮЧЕНИЕ…………………………………………………………………………………………………………….19
Литература……………………………………………………………………………………………………………………20
Введение
Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования – является одной из важнейших проблем современности.
Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно – аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.
Особенностями современных информационных технологий являются:
- Увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений;
- Территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами;
- Усложнение программных и аппаратных средств компьютерных систем;
- Накопление и длительное хранение больших массивов данных на электронных носителях;
- Интеграция в единую базу данных информацию различной направленности различных методов доступа;
- Непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе;
- Рост стоимости ресурсов компьютерных систем.
Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий.
В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.
1.1 Основные понятия
Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация может быть речевой, телекоммуникационной, документированной.
Информационные процессы – процессы сбора, накопления, обработки хранения, распределения и поиска информации.
Информационная система– совокупность документов и массивов документов и информационных технологий.
Информационными ресурсами называют документы или массив документов существующие отдельно или в составе информационной системы.
Процесс создания оптимальных условий для удовлетворения информационных потребностей граждан, организаций, общества и государства называется информатизацией.
Информатизация разделяется на открытую и ограниченного доступа.
Информация является одним из объектов гражданского права том числе и прав собственности, владения, пользования.
Собственник информационных ресурсов, технологий и систем – субъект с правом владения, пользования и распределения указанных объектов.
Владельцем ресурсов, технологий и систем является субъект с полномочиями владения и пользования указанными объектами. Под пользователем понимается субъект обращающийся к информационной системе за получением нужной информации и пользующегося ею.
Под утечкой информации понимают неконтролируемое распространение защищенной информации путем ее разглашения, несанкционированного доступа и получение разведчиками. Несанкционированный доступ – получение защищенной информации заинтересованным субъектом с нарушением правилом доступа к ней.
Несанкционированное воздействие на защищенную информацию это воздействие с нарушением правил ее изменения( например подменяя электронных документов).
Под непреднамеренным воздействием на защищенную информацию понимается воздействие на нее из-за ошибок пользователя, сбой техники, или программных средств, природных явлений и других непреднамеренных воздействий( например уничтожение документа на накопителе на жестком диске).
Источник: http://referat.yabotanik.ru/informatika/metody-zashhity-informacii-ot-nesankcionirovannogo-dostupa/89536/84237/page1.html
2.4.Административные меры защиты
Проблема защиты информации решается введением контроля доступа и разграничением полномочий пользователя.
Распространённым средством ограничения доступа (или ограничения полномочий) является система паролей. Однако оно ненадёжно.
Опытные хакеры могут взломать эту защиту, «подсмотреть» чужой пароль или войти в систему путём перебора возможных паролей, так как очень часто для них используются имена, фамилии или даты рождения пользователей.
Более надёжное решение состоит в организации контроля доступа в помещения или к конкретному ПК в ЛВС с помощью идентификационных пластиковых карточек различных видов.
Использование пластиковых карточек с магнитной полосой для этих целей вряд ли целесообразно, поскольку, её можно легко подделать.
Более высокую степень надёжности обеспечивают пластиковые карточки с встроенной микросхемой – так называемые микропроцессорные карточки (МП – карточки, smart – card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом.
Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продублировать. При выдаче карточки пользователю на неё наносится один или несколько паролей, известных только её владельцу.
Установка специального считывающего устройства МП – карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.
3. Защита корпоративной информации.
Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как правило, частные задачи. Ниже рассмотрим наиболее общие подходы к комплексному решению задачи обеспечения безопасности информации.
Наиболее типичной ошибкой при построении системы защиты является стремление защитить всё и от всего сразу.
На самом деле определение необходимой информации (файлов, каталогов, дисков) и иных объектов информационной структуры, которые требуется защитить – первый шаг в построении системы информационной безопасности.
С определения этого перечня и следует начать: следует оценить, во сколько может обойтись потеря (удаление или кража) той или иной базы данных или, например, простой одной рабочей станции в течение дня.
Второй шаг – определение источников угроз. Как правило, их несколько.
Выделить источник угроз – значит, оценить его цели (если источник преднамеренный) или возможное воздействие (непреднамеренный), вероятность (или интенсивность) его появления.
Если речь идет о злоумышленных действиях лица (или группы лиц), то требуется оценить его организационные и технические возможности для доступа к информации (ведь злоумышленник может быть и сотрудником фирмы).
После определения источника угроз можно сформулировать угрозы безопасности информации. То есть что с информацией может произойти. Как правило, принято различать следующие группы угроз:
- несанкционированный доступ к информации (чтение, копирование или изменение информации, ее подлог и навязывание);
- нарушение работоспособности компьютеров и прикладных программ
- уничтожение информации.
В каждой из этих трех групп можно выделить десятки конкретных угроз, однако пока на этом остановимся. Заметим только, что угрозы могут быть преднамеренными и случайными, а случайные, в свою очередь, естественными (например, стихийные бедствия) и искусственными (ошибочные действия персонала).
Случайные угрозы, в которых отсутствует злой умысел, обычно опасны только в плане потери информации и нарушения работоспособности системы, от чего достаточно легко застраховаться.
Построение системы защиты полезно проводить с принципами защиты, которые достаточно универсальны для самых разных предметных областей (инженерное обеспечение в армии, физическая безопасность лиц и территорий , и т. д.)
- Адекватность (разумная достаточность). Совокупная стоимость защиты (временные, людские и денежные ресурсы) должна быть ниже стоимости защищаемых ресурсов. Если оборот компании составляет 10 тыс. долларов в месяц, вряд ли есть смысл развертывать систему на миллион долларов (так, же как и наоборот).
- Системность. Важность этого принципа особо проявляется при построении крупных систем защиты. Он состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа угроз, средств защиты от этих угроз, поиска оптимального набора этих средств и построения системы.
- Прозрачность для легальных пользователей. Введение механизмов безопасности (в частности аутентификации пользователей) неизбежно приводит к усложнению их действий. Тем не менее, никакой механизм не должен требовать невыполнимых действий (например, еженедельно придумывать 10-значный пароль и нигде его не записывать) или затягивать процедуру доступа к информации.
- Равностойкость звеньев. Звенья – это элементы защиты, преодоление любого из которых означает преодоление всей защиты. Понятно, что нельзя слабость одних звеньев компенсировать усилением других. В любом случае, прочность защиты (или ее уровня, см. ниже) определяется прочностью самого слабого звена. И если нелояльный сотрудник готов за 100 долларов «скинуть на дискету» ценную информацию, то злоумышленник вряд ли будет выстраивать сложную хакерскую атаку для достижения той же цели.
- Непрерывность. В общем-то, та же равностойкость, только во временной области. Если мы решаем, что будем что-то и как-то защищать, то надо защищать именно так в любой момент времени. Нельзя, например, решить по пятницам делать резервное копирование информации, а в последнюю пятницу месяца устроить «санитарный день». Закон подлости неумолим: именно в тот момент, когда меры по защите информации будут ослаблены, произойдет то, от чего мы защищались. Временный провал в защите, так же, как и слабое звено, делает ее бессмысленной.
- Многоуровневость. Многоуровневая защита встречается повсеместно, достаточно побродить по руинам средневековой крепости. Зачем защита строится в несколько уровней, которые должен преодолевать как злоумышленник, так и легальный пользователь (которому, понятно, это делать легче)? К сожалению, всегда существует вероятность того, что какой-то уровень может быть преодолен либо в силу непредвиденных случайностей, либо с ненулевой вероятностью. Простая математика подсказывает: если один уровень гарантирует защиту в 90%, то три уровня (ни в коем случае не повторяющих друг друга) дадут вам 99,9%. Это, кстати, резерв экономии: путем эшелонирования недорогих и относительно ненадежных средств защиты можно малой кровью добиться очень высокой степени защиты.
Учет этих принципов поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности бизнеса.
4. Оценка эффективности систем защиты программного обеспечения
Системы защиты ПО широко распространены и находятся в постоянном развитии, благодаря расширению рынка ПО и телекоммуникационных технологий.
Необходимость использования систем защиты (СЗ) ПО обусловлена рядом проблем, среди которых следует выделить: незаконное использование алгоритмов, являющихся интеллектуальной собственностью автора, при написании аналогов продукта (промышленный шпионаж); несанкционированное использование ПО (кража и копирование); несанкционированная модификация ПО с целью внедрения программных злоупотреблений; незаконное распространение и сбыт ПО (пиратство).
Системы защиты ПО по методу установки можно подразделить на системы, устанавливаемые на скомпилированные модули ПО; системы, встраиваемые в исходный код ПО до компиляции; и комбинированные.
Системы первого типа наиболее удобны для производителя ПО, так как легко можно защитить уже полностью готовое и оттестированное ПО (обычно процесс установки защиты максимально автоматизирован и сводится к указанию имени защищаемого файла и нажатию “Enter”), а потому и наиболее популярны. В то же время стойкость этих систем достаточно низка (в зависимости от принципа действия СЗ), так как для обхода защиты достаточно определить точку завершения работы “конверта” защиты и передачи управления защищенной программе, а затем принудительно ее сохранить в незащищенном виде.
Системы второго типа неудобны для производителя П.О, так как возникает необходимость обучать персонал работе с программным интерфейсом (API) системы защиты с вытекающими отсюда денежными и временными затратами. Кроме того, усложняется процесс тестирования П.
О и снижается его надежность, так как кроме самого П.О ошибки может содержать API системы защиты или процедуры, его использующие. Но такие системы являются более стойкими к атакам, потому что здесь исчезает четкая граница между системой защиты и как таковым П.О.
Для защиты ПО используется ряд методов, таких как:
- Алгоритмы запутывания – используются хаотические переходы в разные части кода, внедрение ложных процедур – “пустышек”, холостые циклы, искажение количества реальных параметров процедур ПО, разброс участков кода по разным областям ОЗУ и т.п.
- Алгоритмы мутации – создаются таблицы соответствия операндов – синонимов и замена их друг на друга при каждом запуске программы по определенной схеме или случайным образом, случайные изменения структуры программы.
- Алгоритмы компрессии данных – программа упаковывается, а затем распаковывается по мере выполнения.
- Алгоритмы шифрования данных – программа шифруется, а затем расшифровывается по мере выполнения.
- Вычисление сложных математических выражений в процессе отработки механизма защиты – элементы логики защиты зависят от результата вычисления значения какой-либо формулы или группы формул.
- Методы затруднения дизассемблирования – используются различные приемы, направленные на предотвращение дизассемблирования в пакетном режиме.
- Методы затруднения отладки – используются различные приемы, направленные на усложнение отладки программы.
- Эмуляция процессоров и операционных систем – создается виртуальный процессор и/или операционная система (не обязательно реально существующие) и программа-переводчик из системы команд IBM в систему команд созданного процессора или ОС, после такого перевода ПО может выполняться только при помощи эмулятора, что резко затрудняет исследование алгоритма ПО.
- Нестандартные методы работы с аппаратным обеспечением – модули системы защиты обращаются к аппаратуре ЭВМ, минуя процедуры операционной системы, и используют малоизвестные или недокументированные её возможности.
ЗАКЛЮЧЕНИЕ
Можно сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области. В крупных организациях я бы рекомендовал ввести должность специалиста по информационной безопасности.
Литература
- Хореев П.В. «Методы и средства защиты информации в компьютерных системах» 2005 год, издательский центр «Академия»
- Журнал «СпецХакер №04(41)-2004»
- Баричев С. «Криптография без секретов»
- http:\\kaspersky.ru\
- D. Hsiao, D. Kerr, S. Madnick “Computer Security” Academic Press, 1979.
- Г. А. Черней, С. А. Охрименко, Ф. С. Ляху “Безопасность автоматизированных информационных систем” Ruxanda, 1996.
- С. Середа “Программно-аппаратные системы защиты программного обеспечения”
Источник: http://turboreferat.ru/information/metody-zashhity-informacii-ot-nesankcionirovannogo/124727-639082-page3.html
Защита от несанкционированного копирования
- Введение
- 1 Организационные меры защиты
- 2 Правовые меры защиты
- 3 Технические меры защиты
- 3.1 Защита аудио треков
- 3.2 Защита аудио компакт-дисков
- 3.3 Защита программного обеспечения
- 3.3.
1 Защита программного обеспечения на мобильных платформах
- 3.3.
- 4 Методы обхода технических мер защиты от копирования
- 5 Проблема «лучше, чем легальное»
Защита от несанкционированного копирования — система мер, направленных на противодействие несанкционированному копированию информации, как правило, представленной в электронном виде (данных или кода коммерческого программного обеспечения). При защите от копирования используются различные меры: организационные, юридические, и технические (программные и программно-аппаратные).
Преимуществом технических мер защиты является возможность предотвращения несанкционированного копирования.
В ряде случаев копирование разрешено законодательством(например, резервное).
В таких ситуациях определить его «законность» можно только техническими средствами(подтверждение этого — недавняя эпопея с Windows Genuine Advantage: было зафиксировано множество ложных срабатываний).
Поэтому технические средства защиты авторских прав зачастую запрещают любое копирование, создавая неудобства пользователям, за что подвергаются критике со стороны правозащитников.
1. Организационные меры защиты
Основная идея организационных мер защиты заключается в том, что полноценное использование продукта невозможно без соответствующей поддержки со стороны производителя.
2. Правовые меры защиты
Предусмотрена ответственность, в соответствии с действующим законодательством, как за использование контрафактных экземпляров программ для ЭВМ и баз данных, так и за преодоление применяемых технических средств защиты.
3.1. Защита аудио треков
Ряд производителей портативных плееров защищают от копирования музыку путем использования известных только им протоколов обмена между электронным музыкальным магазином и проигрывающим устройством.
В результате купленная музыка может прослушиваться только с их указанного устройства и, наоборот, закачать музыку на плеер можно только с использованием их программного обеспечения и из их Music Store.
Это создает некоторые неудобства конечным пользователям.
3.2. Защита аудио компакт-дисков
Компакт-диски делают не полностью соответствующими спецификации Red Book, из-за чего (теоретически) диск должен читаться на плеерах и не читаться на компьютерных приводах CD-ROM.
На практике такие диски читаются на некоторых приводах и, наоборот, не читаются на некоторых плеерах. Фирма Philips, владеющая знаком «Compact Disc Digital Audio», отказалась ставить эту марку на защищённых дисках.
Из таких защит известны Cactus Data Shield и Copy Control.
В 2005 фирма Sony использовала свой метод защиты компакт-дисков, известный как Extended Copy Protection (XCP). Диски с XCP имеют дополнительную дорожку с данными, и при первой установке в системах семейства Microsoft Windows устанавливают скрытую программу, запрещающую копирование дисков.
Системы с ОС, отличной от Windows не подвержены этой опасности.
У аудиодисков, видео, книг и подобных носителей есть «аналоговая брешь»: если музыку можно воспроизвести, то её можно и записать. Если текст можно распечатать, то его можно и отсканировать. В таком случае некоторые компании используют ТСЗАП, снижающие качество воспроизведения — то есть качество самого продукта.
3.3. Защита программного обеспечения
Защита программного обеспечения, в подавляющем большинстве случаев производится от нелегального использования. Однако случаи защиты ПО от копирования тоже имеют место:
- Защита программы с использованием “нестандартного” носителя. Сюда включаются все случаи, когда в результате использования нестандартных протоколов записи на носитель (в результате чего чтение информации возможно только с использованием специализированного драйвера), а также намеренное создание “битых” секторов, приводящих к ошибкам четния данных стандартными средствами. Недостаток такого подхода – в принципиальной возможности считать данные (см. аналоговая брешь) и широкой досупности программных инструментов для этого.
- Перенос кода самих программ в облако и предоставление функционала этих программ, как сервиса (подход SaaS). При этом код программы расположен и исполняется на сервере, доступном в глобальной сети. Доступ к нему осущетсвляется с использованием тонкого клиента.
- Средства защиты непосредственно кода приложения от копирования и использования в других программах. В частности, обфускаторы нужны для запутывания кода и защиты от его анализа, модификации и несанкционированного использования.
- Использование механизмов активации программного обеспечения. Программа “привязывается” к железу компьютера (подсчитывается контрольное значение, однозначно соответствующее установленным комплектующим компьютера). Это значение передается разработчику программы. На основе него разработчик генерирует код активации, подходящий для активации приложения только на указанной машине (копирование установленных исполняемых файлов на другой компьютер приведет к неработоспособности программы). Учитывая, что скопировать установленное защищенное приложение все-таки можно, то защита в этом случае происходит в большей степени “от использования”. Недостатком является потенциальная возможность эмуляции “универсального” аппаратного окружения (даже если разработчик реализовал защиту от использования приложения под виртуальной машиной).
- Использование электронных ключей для защиты программного обеспечения также подразумевает защиту “от использования”, так как копировать защищенное приложение можно сколько угодно, однако постоянно работать будет только одна копия – та, для которой установлен электронный ключ.
3.3.1. Защита программного обеспечения на мобильных платформах
Способы защиты программного обеспечения для мобильных платформ от копирования обычно основываются на невозможности рядового пользователя считывать/изменять хранящиеся в ППЗУ аппарата данные. Может также использоваться активация программного обеспечения.
4. Методы обхода технических мер защиты от копирования
- Копирование защищённого диска специальными программами.
- Эмуляция диска — специальный драйвер делает логический диск, который программа принимает за лицензионный. Во многих играх применяется вариант этого метода под названием «Mini Image», когда подставной диск имеет маленький размер (несколько мегабайт), тем не менее, игра признаёт его лицензионным.
5. Проблема «лучше, чем легальное»
Это одна из фундаментальных проблем защиты от копирования. Заключается она в том, что система защиты от копирования неизбежно создаёт пользователю неудобства, и поэтому, с точки зрения пользователя, пиратская копия в каком-то смысле лучше лицензионной. Например:
- С винчестера данные/программа загружается быстрее, чем с внешнего носителя.
- Целостность внешнего носителя может нарушиться
- Если не использовать внешних носителей, время работы ноутбука существенно увеличивается
- На некоторых компьютерах может не оказаться подходящего устройства чтения / порта
- Мобильное-приложение исчезнет после перепрошивки телефона, и нет возможности сделать её резервную копию.
- Защищённую музыку, закачанную на портативный плеер, невозможно прослушать, например, с домашнего ПК.
- Аппаратные технологии защиты приводят к удорожанию устройств.
скачать
Данный реферат составлен на основе статьи из русской Википедии. Синхронизация выполнена 11.07.11 02:10:05
Похожие рефераты: Конструктор копирования, Список ПО для резервного копирования, Служба теневого копирования тома, Защита, Защита Филидора, Противопожарная защита, Психологическая защита, Защита Бенони.
Категории: Защита от копирования.
Текст доступен по лицензии Creative Commons Attribution-ShareA.
Источник: http://wreferat.baza-referat.ru/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0_%D0%BE%D1%82_%D0%BD%D0%B5%D1%81%D0%B0%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BA%D0%BE%D0%BF%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F
Add comment