Рушинский А.В.
БЕЗОПАСНОСТЬ БИБЛИОТЕЧНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ
С развитием информационных сетей на Западе появилась целая группа профессионалов-хакеров, занимающихся компьютерным воровством. Сегодня хакеризм процветает практически во всех странах мира и распространен во многих областях человеческой деятельности. Однако стоит отметить, что высококвалифицированных хакеров не так уж много.
Россия за последнее десятилетие произвела на свет сотни высокоподготовленных потенциальных хакеров. По мастерству и изобретательности, считают специалисты, российские хакеры давно превзошли своих зарубежных коллег.
Что же крадут современные хакеры? Потенциальным объектом может быть любая информация, заложенная в ЭВМ, проходящая по вычислительным сетям или находящаяся на носителях ЭВМ и способная принести прибыль хакеру или его “работодателю”. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а порой и в миллионы долларов.
Занимаются хакеры и порчей программ или информации с помощью вирусов – специальных программ, обеспечивающих уничтожение информации или сбой в работе системы. Создание “вирусных” программ – дело весьма прибыльное, так как некоторые фирмы-производители используют вирусы для защиты своих программных продуктов от несанкционированной записи. Хороший защитный “вирус” стоит до 40 тыс. долларов.
Что же означает защита библиотечной компьютерной системы от несанкционированного доступа?
Это комплекс мероприятий и средств, обеспечивающих: 1) целостность и сохранность данных, т.е. способность информационной системы в течение всего жизненного цикла обеспечивать хранение данных в неискаженном виде и исключать их случайное уничтожение; 2) ограничение доступа к конфиденциальной, не подлежащей разглашению информации; 3) способность системы и прикладных программ выполнять свои функции.
Неадекватная защита подвергает библиотеку риску серьезных убытков, вызванных случайным или преднамеренным разрушением, искажением или использованием данных. Среди них можно отметить следующие: 1) стихийные бедствия, например, пожар, наводнение, пылевые и магнитные бури; 2) выход из строя аппаратного обеспечения оборудования, например, повреждения механической и электрической частей компьютера, запоминающего устройства или связующих элементов; 3) ошибки в программном обеспечении: ошибки, допущенные при программировании, прочие ошибки в банках данных; 4) ошибки случайного характера, допущенные кем-либо при обработке информации: отключение электроэнергии; случайное (сознательное) уничтожение информации; несанкционированная модификация информации; 5) преднамеренные действия, направленные на разрушение, искажение или использование информации в корыстных целях.
Основное назначение любой программы обеспечения информационной безопасности – создание условий, при которых зарегистрированные процессы и физические лица могут выполнять все, что им разрешено, и не более того. Комплекс мер, поддерживающих такие условия, обычно носит название контроля доступа.
В приведенное выше определение включен термин “зарегистрированные процессы”. Это обусловлено тем, что в современных информационных системах одна операция может запускать другую, вторая – третью и т.д., и не всегда зарегистрированные пользователи представляют себе, какую цепочку операций они инициировали. К примеру, в интегрированной бухгалтерской системе библиотеки ввод финансового ордера может автоматически запустить расчеты с кредиторами и дебиторами, выписку счетов, просмотр неоплаченных счетов, выдачу других команд. Система же контроля доступа должна быть в состоянии учитывать все взаимосвязи, порождающие такие цепочки, ибо в противном случае появляется опасность ее обхода или компрометации.
Контроль доступа является фундаментальным понятием процесса обеспечения безопасности.
Если файлы не защищены от несанкционированного доступа, то любому чем-то недовольному сотруднику или просто любителю поживиться за чужой счет ничего не стоит стереть или украсть содержащуюся в них информацию.
Системный подход к обеспечению безопасности компьютерной системы состоит из следующих последовательных шагов: 1) обеспечение приоритетности проблемы защиты информации; 2) уточнение источников информации, а также степени уязвимости фирмы и размера возможного ущерба в случае несанкционированного доступа пользователей к файлам данных; 3) выбор и внедрение методов и средств защиты в целях уменьшения возможных потерь; 4) оценка и регулярный контроль эффективности системы защиты.
В практике борьбы с компьютерным пиратством существует множество способов для защиты информации, программных продуктов и борьбы с вирусами.
Прежде всего, это защита носителей информации магнитных дисков с помощью нестандартного форматирования. Широкое распространение получили специальные замки защиты, благодаря которым программы не будут работать ни на каких ПЭВМ, кроме компьютера вашей фирмы. Замки создаются специальными программными средствами, и некоторые из них при несанкционированном доступе или списывании способны частично разрушить оперативную память ПЭВМ.
Существуют программы, доступ к которым можно осуществить с помощью соответствующего запроса дополнительной информации или пароля. Только в России их насчитывается сегодня более сорока.
Широкое применение во всем мире для защиты компьютеров получило шифрование или криптография. Если у руководителя фирмы нет надежного помощника, можно использовать специальные устройства защиты (СУЗ), не позволяющие осуществлять съем информации без соответствующей санкции.
Самый простой метод защиты – включение не более 10 процентов конфиденциальной информации в общий поток обрабатываемой информации. В этих условиях выловить необходимые хакеру сведения очень сложно. Как элемент шума можно использовать проверенные на отсутствие вирусов компьютерные игры с генерацией случайных чисел.
Одним из надежных, но дорогостоящих методов является создание специальных экранированных помещений, которые не позволяют осуществить съем информации с объекта. Как правило, в данных помещениях вводятся особые методы контроля для предотвращения переноса в зону записывающих устройств несанкционированных программных продуктов.
Необходимо приступить к разработке стратегии защиты информации, внедрить ее на практике и довести до сведения каждого из сотрудников. Стратегия защиты включает: 1) разделение обязанностей по управлению контролем за защитой данных; 2) выявление информации, не подлежащей разглашению.
Следующий этап системного подхода к обеспечению безопасности компьютерной системы состоит в уточнении источников информации и степени уязвимости библиотеки в случае ее утраты.
Поскольку требования к мерам по защите различаются в зависимости от сферы применения компьютеризированной обработки данных, а следовательно, от используемых прикладных программ, необходимо, прежде всего, определить, какие из них нуждаются в дополнительных защитных мерах. Для этого необходимо знать следующее: 1) характеристики системы и “среду ее обитания”; 2) главного пользователя (т.е. “владельца”); 3) других пользователей; 4) основные категории используемой информации; 5) общие сведения о доступе к системе и условиях эксплуатации; 6) прикладные программы идентификации для установления тождественности пользователя или процесса пользования, что необходимо для управления доступом, а также лицо. ответственное за каждую такую программу.
Технические средства защиты предназначены для того, чтобы предотвратить возможность утраты важной информации в случае возгорания, попадания воды, перебоев с подачей электроэнергии, перепадов напряжения в сети, механического повреждения, кражи, а также превышения допустимых значений температуры, влажности, загрязнения воздуха. Для этой цели используются физические приборы, позволяющие следить за состоянием внешней среды и разного рода технические средства и приспособления.
Важное значение имеет контроль за разработкой и качеством приобретаемого программного обеспечения. Если библиотека решила разработать программное обеспечение своими силами, важно быть уверенным в том, что оно способно выполнить функция планирования и организации вычислительного процесса, отладки программ решения прикладных задач и надежно защищено от несанкционированного доступа. Если же решили остановиться на готовом программном обеспечении, прежде всего, надлежит убедиться в том, что приобретается законная лицензионная копия, а также что данное программное обеспечение защищено от использования в преступных целях и незаконного копирования.
Контроль за созданием резервных копий крайне важен для библиотек, поскольку это исключительная мера предосторожности на случай возникновения непредвиденных обстоятельств, которые могут привести к катастрофе.