Защита информации от несанкционированного доступа
Тема 8.2. Разграничение доступа, программно-аппаратные средства защиты информации
Защита от несанкционированного доступа к ресурсам компьютера — это комплексная проблема, подразумевающая решение следующих вопросов:
¾ присвоение пользователю, а равно и терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);
¾ выполнение процедур установления подлинности при обращениях (доступе) к информационной системе и запрашиваемой информации, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует (подлинная идентификация программ, терминалов и пользователей при доступе к системе чаще всего выполняется путем проверки паролей, реже — обращением в специальную службу, ведающую сертификацией пользователей)
¾ проверку полномочий, то есть проверку права пользователя на доступ к системе или запрашиваемым данным (на выполнение над ними определенных операций — чтение, обновление), с целью разграничения прав доступа к сетевым
и компьютерным ресурсам;
|
|
¾ автоматическую регистрацию в специальном журнале всех как удовлетворен ных, так и отвергнутых запросов к информационным ресурсам с указанием
идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение журналов аудита, позволяющих определить, через какой хост-компьютер действовал хакер, а иногда и определить его IP-адрес и точное местоположение.
В литературе имеются рекомендации по количественной оценке параметров систем защиты информации. В руководящих документах Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите информации» и «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (1998 год) рекомендовано для оценки защиты информации от несанкционированного доступа использовать показатели:
¾ Рa — вероятность попадания информации абоненту, которому она не предназначена;
¾ Рс — вероятность непрохождения сигнала тревоги.
Правовые методы защиты программ включают:
¾ патентную защиту;
¾ закон о производственных секретах;
¾ лицензионные соглашения и контракты;
¾ закон об авторском праве.
Различают две категории прав:
1. экономические права, дающие их обладателям право на получение экономических
выгод от продажи или использования программных продуктов и баз данных;
|
|
2. моральные права, обеспечивающие защиту личности автора в его произведении.
Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Но, к сожалению, само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технология разработки программ, поэтому требуются дополнительные меры их защиты.
Патентная защита устанавливает приоритет в разработке и использования нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.
Статус производственного секрета для программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т.п) Программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.
Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав.
Лицензия — договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технология или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программного продукта I или базы данных; лицензиат извлекает доходы за счет их применения. 1
В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий. На каждой копии программы должны быть те же отметки, что и на оригинале:
¾ знак авторского права (обычно ©) и название разработчика, года выпуска программы,
прочих ее атрибутов;
¾ знак патентной защиты или производственного секрета;
¾ торговые марки, соответствующие использованным в программе другим программным изделиям (обычно — ™ и название фирмы-разработчика программного продукта);
¾ символ зарегистрированного права на распространение программного продукта (обычно ®).
Существует несколько типов лицензий на программные продукты.
Исключительная лицензия — продажа всех имущественных прав на программный продукт или базу данных, покупателю лицензии предоставляется исключительное право на их использование, а автор или владелец патента отказывается от самостоятельного их применения или предоставления другим лицам.
Это самый дорогой вид лицензии, к нему прибегают для монопольного владения с целью извлечения дополнительной прибыли либо с целью прекращения существования на рынке программных средств программного продукта.
Простая лицензия — лицензиар предоставляет право лицензиату использовать программный продукт или базу данных, оставляя за собой право применять их и предоставлять на аналогичных условиях неограниченному числу лиц.
Такой вид лицензии приобретают дилер (торговец) либо фирмы-производители, использующие купленные лицензии как сопутствующий товар к основному виду деятельности. Например, многие производители и фирмы, торгующие компьютерной техникой, осуществляют продажу вычислительной техники с установленным лицензионным программным обеспечением (операционная система, текстовый редактор, электронная таблица, В графические пакеты и т.д.).
Этикеточная лицензия — лицензия на одну копию программного продукта или базы данных. Данный тип лицензии применяется при розничной продаже. Каждый официальный покупатель заключает лицензионное соглашение с продавцом на их использование, но при этом сохраняется авторское право разработчика.