Так с чем же имеет дело информационная безопасность? Далее следует список основных целей и задач, решение которых она должна обеспечить (в скобках приведены английские эквиваленты):
секретность (privacy, confidentiality, secrecy); целостность (data integrity); идентификация (identification); аутентификация (data origin, authentication); уполномочивание (authorization); контроль доступа (access control); право собственности (ownership); сертификация (certification); подпись (signature); неотказуемость (non-repudiation); датирование (time stamping); расписка в получении (receipt); аннулирование (annul); анонимность (anonymity); свидетельствование (witnessing); подтверждение (confirmation); ратификация (validation).
Рассмотрим каждую из перечисленных задач подробнее. Секретность ~ одна из самых востребованных задач зашиты. Практически у каждого человека или организации найдутся документы, которые ни в коем случае не должны стать всеобщим достоянием, будь то личные медицинские данные, информация о финансовых операциях или государственная тайна. Пока для хранения используются неэлектронные средства (бумага, фотопленка), секретность обеспечивается административными методами (хранение в сейфах, транспортировка в сопровождении охраны и т. д.). Но когда информация обрабатывается на компьютерах и передается по открытым кана- лам связи, административные методы оказываются бессильны и на помощь приходят методы информационной безопасности. Задача обеспечения секретности, фактически, сводится к тому, чтобы сделать возможным хранение и передачу данных в таком виде, чтобы противник, даже получив доступ к носителю или среде передачи, не смог получить сами защищенные данные. Целостность — еще одна очень важная задача. В процессе обработки и передачи по каналам связи данные могут быть искажены, как случайно, так и преднамеренно. Также информация может быть изменена прямо на носителе, где она хранится.
Проверка целостности просто необходима в ситуациях, когда интерпретация неправильных данных может привести к очень серьезным последствиям, например при возникновении ошибки в сумме банковского перевода или значении скорости самолета, заходящего на посадку. Обеспечение целостности (контроль целостности) заключается в том, чтобы позволить либо утверждать, что данные не были модифицированы при хранении и передаче, либо определить факт искажения данных. То есть никакое изменение данных не должно пройти незамеченным. Идентификация необходима для того, чтобы отождествить пользователя с некоторым уникальным идентификатором. После этого ответственность за все действия, при выполнении которых предъявлялся данный идентификатор, возлагается на пользователя, за которым этот идентификатор закреплен. Аутентификация является необходимым дополнением к идентификации и предназначена для подтверждения истинности (аутентичности) пользователя, предъявившего идентификатор. Неанонимный пользователь должен получить возможность работать только после успешной аутентификации. Уполномочивание сводится к тому, что ни один пользователь не должен получить доступ к системе без успешного выполнения идентификации и последующей аутентификации и ни один пользователь не должен получить доступ к ресурсам, если он не уполномочен на такие действия специальным разрешением.
Контроль доступа — комплексное понятие, обозначающее совокупность методов и средств, предназначенных для ограничения доступа к ресурсам. Доступ должны иметь только уполномоченные пользователи, и попытки доступа должны протоколироваться. Право собственности используется для того, чтобы предоставить пользователю законное право на использование некоторого ресурса и, при желании, возможность передачи этого ресурса в собственность другому пользователю. Право собственности обычно является составной частью системы контроля доступа.
Сертификация — процесс подтверждения некоторого факта стороной, которой пользователь доверяет. Чаще всего сертификация используется для удо- стоверения принадлежности открытого ключа конкретному пользователю или компании, т. к. эффективное использование инфраструктуры открытых ключей возможно лишь при наличии системы сертификации. Организации, занимающиеся выдачей сертификатов, называются удостоверяющими центрами. Подпись позволяет получателю документа доказать, что данный документ был подписан именно отправителем. При этом подпись не может быть пе- ренесена на другой документ, отправитель не может отказаться от своей подписи, любое изменение документа приведет к нарушению подписи, и любой пользователь, при желании, может самостоятельно убедиться в подлинности подписи. Неотказу ем ость — свойство схемы информационного обмена, при котором существует доказательство, которое получатель сообщения способен предъявить третьей стороне, чтобы та смогла независимо проверить, кто является отправителем сообщения. То есть отправитель сообщения не имеет возможности отказаться от авторства, т. к. существуют математические доказатель- ства того, что никто кроме него не способен создать такое сообщение.
Расписка в получении передается от получателя к отправителю и может впо- следствии быть использована отправителем для доказательства того, что переданная информация была доставлена получателю не позже определенного момента, указанного в расписке. Датирование часто применяется совместно с подписью и позволяет зафиксировать момент подписания документа. Это может быть полезно, например, для доказательства первенства, если один документ был подписан несколькими пользователями, каждый из которых утверждает, что именно он является автором документа. Кроме этого датирование широко используется в сертификатах, которые имеют ограниченный срок действия. Если действительный сертификат был использован для подписи, а затем соответствующей службой сертифицирующего центра была проставлена метка времени, то такая подпись должна признаваться правильной и после выхода сертификата из употребления. Если же отметка времени отсутствует, то после истечения срока действия сертификата подпись не может быть признана корректной. Аннулирование используется для отмены действия сертификатов, полномочий или подписей. Если какой-либо участник информационного обмена или принадлежащие ему ключи и сертификаты оказались скомпрометированы, необходимо предотвратить доступ этого пользователя к ресурсам и отказать в доверии соответствующим сертификатам, т. к. ими могли воспользоваться злоумышленники. Также процедура аннулирования может быть использована в отношении удостоверяющего центра.
Свидетелъствование — удостоверение (подтверждение) факта создания или существования информацией некоторой стороной, не являющейся созда- телем.
Анонимность — довольно редко вспоминаемая задача. Сильным мира сего — правительствам и корпорациям — не выгодно, чтобы пользователь мог ос- таться анонимным при совершении каких-либо действий в информационном пространстве. Возможно, по этой причине проекты по обеспечению анонимности носят единичный характер и, как правило, долго не живут. Да и средства коммуникации, в подавляющем большинстве, позволяют оп- ределить маршрут передачи того или иного сообщения, а значит, вычислить отправителя. Все перечисленные задачи сформулированы, исходя из потребностей существующего информационного мира. Возможно, со временем часть задач потеряет свою актуальность, по более вероятно, что появятся новые задачи, нуждающиеся в решении.