- шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
- контроль доступа в зависимости от дня недели или времени суток (всего 14 ограничений).
Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от “хакеров”, вооруженных разнообразными сканирующими устройствами. Были применены разнообразные технические решения. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радиосетях и технологии шифрования данных при помощи алгоритмов DES и RSA.
Шифрование компьютерной информации. Сложность создания системы защиты информации определяется тем, что данные могут быть похищены преступником из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении. Обеспечение безопасности информации - дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии. Если локальная сеть разрабатывалась в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент/сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным и их искажения. Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.
Практика экономически развитых стран, прежде всего США показывает, что финансовые службы компаний представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES (см. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy). Шифрование данных может осуществляться в режимах On-line (в темпе поступления информации) и Off-line (автономном). Наибольший интерес и практическое применение имеет первый тип с его основными алгоритмами. Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадрилионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную. Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов DES, технически является СИММЕТРИЧНЫМ алгоритмом, а RSA -- АСИММЕТРИЧНЫМ, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрованием сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.
Выводы, результаты исследования
Проведенное в настоящей работе исследование российского уголовного законодательства в сфере компьютерной информации, раскрытие понятия, состава преступлений в сфере компьютерной информации, рассмотрение отдельных видов компьютерных преступлений и способов защиты компьютерной информации от преступных посягательств позволяет сделать следующие выводы:
1) В настоящее время в нашей стране накоплена богатая научно-теоретическая база, которая свидетельствует о складывающемся устойчивом правовом механизме, нацеленным на защиту компьютерной информации. В 1992 году был принят Закон России о правовой охране программ для электронно-вычислительных машин и баз данных, в 1994 году — Гражданский кодекс, который содержит ряд норм, связанных с компьютерной информацией, в 1995 году — Федеральный закон об информации, информатизации и защите информации. Логическим развитием правовой системы, создающей условия безопасности компьютерной информации, стала разработка в УК РФ 1996 года группы статей, предусматривающих основания уголовной ответственности за так называемые компьютерные преступления.
2) Однако, в действующем российском законодательстве пока еще нет четкого представления о правовом механизме защиты компьютерной информации как целостной разработанной правовой системы. Компьютерная преступность не знает границ, она выходит за пределы российской действительности. Это международное понятие и бороться с ней надо согласованно и сообща. С внедрением в человеческую жизнь новых компьютерных технологий, когда обмен информацией стал быстрым, дешевым и эффективным, преступность в информационной сфере переросла за рамки тех уголовно-правовых норм, направленных для борьбы с ней. Компьютерные преступления условно можно подразделить на две большие категории - преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства.
3) Проблемы информационной безопасности постоянно усугубляется процессами незаконного несанкционированного проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и прежде всего компьютерных вычислительных систем. Не случайно поэтому защита компьютерной информации становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:
целостность данных - защиту от несанкционированных сбоев, ведущих к потере информации, а также неавторизованного, несанкционированного, противоправного создания или уничтожения данных.
конфиденциальность (законность) информации
доступность для всех авторизованных зарегистрированных пользователей
защита компьютерной информации от противоправного посягательства (копирование, хищение, распространение, подделка);
Анализ действующего российского уголовного законодательства в сфере компьютерной информации позволяет говорить о необходимости нескольких правовых проблем, которые могут быть рассмотрены в качестве составных частей правового механизма защиты компьютерной информации:
1. Установление контроля над несанкционированным, противоправным доступом к компьютерным информационным данным системы
2. Ответственность за выполнение технологических операций, связанных с правовой защитой компьютерной информации
Среди наиболее эффективных мер, направленных на предупреждение преступлений в сфере компьютерной информации выделяют технические, организационные и правовые.
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
К организационным мерам относится охрана вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
К правовым мерам следует отнести разработку правовых норм, устанавливающих уголовную ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы государственного контроля за разработчиками компьютерных программ и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты стран и др. В заключении следует подчеркнуть, что даже самые современные аппаратные, программные и любые другие научные методы, по-видимому, не смогут гарантировать абсолютную надежность и безопасность компьютерной безопасности. В то же время свести риск потерь к минимуму возможно лишь при комплексном правовом подходе к вопросам защиты компьютерной безопасности.
