Потапенко О.В.
Научный руководитель: Шершнева А.В.
Донецкий национальный
университет
экономики и торговли
имени Михаила
Туган-Барановского, Донецк
УТЕЧКА ИНФОРМАЦИИ ФИНАНСОВЫХ
СТРУКТУР ЧЕРЕЗ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Актуальность. Процессы развития глобальных
информационно-коммуникационных технологий очень динамичны в настоящее время, а
их возможности для общества и экономики еще только начинают масштабно
использоваться.
Цель. Повышение конкурентоспособности
предприятия, внедрение информационных технологий в деятельность финансовых
структур различного уровня и соответствующих специалистов.
На этапе внедрения в деятельность граждан
Украины и не только Интернет рассматривался преимущественно как гигантская
библиотека, и главной его задачей считалась помощь в поиске нужной информации и
организация доступа к ней. В настоящий "коммуникационный" этап своего
развития главной задачей сети Интернет является помощь в поиске желательных
партнеров и предоставление средств для организации с ними нужного вида
коммуникаций с необходимой интенсивностью.
Ожидается существенный рост увеличения объемов
Internet-коммерции, особенно в таких областях, как путешествия, розничная
торговля, финансы, тематическая реклама, а также в компьютерном секторе.
Но, несмотря на все преимущества, информационные
новшества имеют и существенные недостатки. Одним и скорее главным недостатком
является именно утечка информации путем взлома той или иной системы.
Анализ угроз показывает, что пути
несанкционированного получения информации очень разнообразны и многочисленные:
1. хищение носителей
конфиденциальной информации и отходов производства (для дальнейшего анализа);
2. считывание личных данных
в массиве пользователей;
3. чтение остаточной
информации из памяти систем после выполнения ими санкционированных запросов;
4. копирование данных с
носителей информации путём взлома их защиты;
5. маскировка и вход в
систему под видом зарегистрированного пользователя;
6. применение программных
ловушек,
7. использование багов и
недостатков операционных систем и языков программирования;
8. включение в стандартные
библиотеки программного обеспечения "троянских" блоков;
9. преступное выведение из
строя механизмов защиты;
10. использование и
внедрение компьютерных вирусов.
Близким по характеру является и перечень угроз
безопасности информации:
-
анализ трафика и обзор информации, раскрывающей подробности организации каналов
связи между существующими пользователями (наличие/отсутствие, частота и
направление, последовательность битов, тип и объем обмена и т.д.). Даже если у
злоумышленника нет возможности определить полное содержание перехваченного
сообщения, он может извлечь некоторый объем информации - исходя из характера
потоков информации (пакетный поток или непрерывный, или же полное отсутствие
информации).
-
внесение искажений в сообщения, изменение потока сообщений, нарушение общего
порядка сообщений, удаление сообщений или потока.
-
стремление нарушителя выдать себя за легального пользователя для получения
доступа к информации, получения привилегий в системе или направления другому
пользователю ложной информации.
-
блокирование связи или задержка срочных сообщений.
Анализируя каждый из возможных способов
атак, требуется поиск путей защиты информации.
Шифрование жёстких дисков это известный
способ защиты против хищения данных. Многие полагают, что системы шифрования
жёстких дисков позволят защитить их данные, даже в том случае, если
злоумышленник получил физических доступ к компьютеру.
Атакующий, далеко не самой высокой квалификации,
может обойти многие широко используемые системы шифрования, в случае если
ноутбук с данными похищен, в то время когда он был включён или находился в
спящем режиме. И данные на ноутбуке могут быть прочитаны даже в том случае,
когда они находятся на зашифрованном диске, поэтому использование систем
шифрования жёстких дисков не является достаточной мерой.
BitLocker – система, входящая в состав некоторых
версий ОС Windows Vista. Она функционирует как драйвер работающий между
файловой системой и драйвером жёсткого диска, шифруя и расшифровывая по
требованию выбранные секторы. Используемые для шифрования ключи находятся в
оперативной памяти до тех пор, пока зашифрованный диск подмантирован.
Для шифрования каждого сектора жёсткого диска
BitLocker использует одну и ту же пару ключей созданных алгоритмом AES: ключ
шифрования сектора и ключ шифрования, работающий в режиме сцепления
зашифрованных блоков (CBC). Эти два ключа в свою очередь зашифрованы мастер
ключом. Чтобы зашифровать сектор, проводится процедура двоичного сложения
открытого текста с сеансовым ключом, созданным шифрованием байта смещения
сектора ключом шифрования сектора. Потом, полученные данные обрабатываются
двумя смешивающими функциями, которые используют разработанный Microsoft
алгоритм Elephant. Эти безключевые функции используются с целью увеличения
количества изменений всех битов шифра и, соответственно, увеличения
неопределённости зашифрованных данных сектора. На последнем этапе, данные
шифруются алгоритмом AES в режиме CBC, с использованием соответствующего ключа
шифрования. Вектор инициализации определяется путём шифрования байта смещения
сектора ключом шифрования, используемом в режиме CBC.
Так же, ОЗУ должна очищаться в процессе
загрузки. Некоторые ПК могут быть настроены таким образом, чтобы очищать ОЗУ
при загрузке при помощи очищающего POST запроса (Power-on Self-Test) до того
как загружать ОС.
Выводы. Конфиденциальная
информация имеет правовое обеспечение охраны своей безопасности со стороны
законодательства: Уголовный кодекс Украины, Закон Украины «Об информации» и
т.д. Умышленные действия, направленные на получение сведений, составляющих
коммерческую или банковскую тайну, с целью разглашения или другого
использования этих сведений, а также незаконное использование таких сведений,
если это нанесло существенный вред субъекту хозяйственной деятельности, -
наказываются штрафом от двухсот до тысячи необлагаемых минимумов доходов
граждан или ограничением воли сроком до пяти лет или лишением свободы на срок
до трех лет (Статья 231 с изменениями, внесенными Законом N 2252-IV от
16.12.2004). Также Кодекс дополнен статьей 232-1 по закону N 3480-IV от
23.02.2006 (в редакции Закона N 801-VI от 25.12.2008).
Список использованной литературы:
1. Уголовный кодекс Украины
с изменениями и дополнениями, внесенными законами Украины
2. Интернет-источник: http://kodeksy.com.ua/ka/ugolovnyj_kodeks_ukraini.htm
3. Интернет-источник: www.iso27000.ru/chitalnyi-zai/kriptografiya/
4. Интернет-источник: http://ru.wikipedia.org/wiki/