"Бухгалтерский учет", N 10, 2000

ЗАЩИТА ИНФОРМАЦИИ В СИСТЕМАХ КОМПЬЮТЕРНОГО УЧЕТА

Многие конкурентные преимущества предприятия во многом зависят от конфиденциальности его учетной информации. Повсеместный переход к компьютерной обработке данных, помимо очевидных преимуществ, создал и довольно специфичные проблемы, одной из которых является необходимость защиты информации от несанкционированного доступа. В условиях распространения глобальных компьютерных сетей проблема защиты информации стала весьма и весьма значимой, поскольку теперь "дистанционная" кража секретной информации стала очень распространенным явлением.

Разновидности угроз информации и методов ее защиты

Угрозы несанкционированного вмешательства в информационные массивы компьютерной системы можно разделить на внешние и внутренние.

Внешние исходят от сторонних лиц или организаций, т.е. всех тех, кто не имеет отношения к функционированию данного предприятия, но по тем или иным причинам хотел бы получить доступ к его конфиденциальной информации.

Внутренние угрозы информации исходят от сотрудников предприятия и лиц, которым разрешен доступ к работе с автоматизированной системой.

Сегодня существуют и активно используются на практике самые разнообразные механизмы защиты информации в компьютерных системах. Говоря в целом, их можно разделить на внешние и внутренние средства защиты.

Внешние средства основаны на технологиях, непосредственно не встроенных в прикладные программные системы. Это ключи защиты программ и специализированное программное обеспечение, позволяющее "прятать" от постороннего глаза файлы и целые логические диски.

Внутренние средства - это технологии защиты информации, интегрированные в саму прикладную программную систему. Сюда относятся, в первую очередь, средства ограничения доступа пользователей к тем или иным массивам данных и возможностей выполнения определенных функций их обработки. С некоторыми оговорками внутренними средствами защиты информации можно считать также разнообразные механизмы ее шифрования в базах данных.

Внешние механизмы защиты информации

Большинство внешних механизмов защиты информации основано на различных способах шифрования файлов и целых логических дисков компьютера. Шифрование используется тогда, когда возникает опасность, что злоумышленник сможет физически или по каналам связи получить доступ к тем или иным носителям информации.

Одной из таких систем является Secret Disk, которая создает в компьютере логические "секретные" диски, при сохранении информации на которых она автоматически шифруется. Для применения такого диска пользователь должен подключить к компьютеру электронный идентификатор и ввести пароль. После этого с секретным диском можно работать как с обычным. В противном случае секретный диск выглядит файлом, содержащим "нечитаемую" информацию.

Подобного рода системы помогают и в распространившихся случаях физической кражи или изъятия компьютерного оборудования, содержащего ценную информацию. Существуют даже такие системы, которые по нажатию скрытой кнопки могут "прятать" целые разделы сетевого сервера.

Еще одним средством защиты данных при существующей возможности изъятия аппаратных средств, содержащих ценную информацию, является использование технологий удаленного доступа. Для этого достаточно установить сервер с единой базой данных организации в хорошо защищаемое или удаленное от офиса место. В этом случае физически изъять сервер просто не удастся.

Однако следует иметь в виду, что этот способ защиты возможен только тогда, когда практически вся обработка данных сосредоточена на сервере сети, а на рабочих станциях выполняются лишь функции отображения информации и формирования запросов к удаленному компьютеру - серверу. Это обусловлено тем, что при таком построении автоматизированной системы компьютеры организации не могут быть объединены в рамках единой локальной вычислительной сети, обеспечивающей высокую скорость межкомпьютерного обмена данными, и приходится использовать глобальные сети, которые таких скоростей не обеспечивают.

Разграничение прав доступа пользователей к информации

Наиболее часто применяется ограничение доступа к тем или иным модулям программного комплекса. При реализации этого способа пользователю разрешен либо запрещен вход в ту или иную программу. Обычно такая защита реализуется на уровне пароля на вход. Кто знает пароль - тот может войти в программу, кто не знает - тот не войдет.

Нередко в системы автоматизации встраивается такой метод защиты, при котором разные пользователи имеют разные имена и пароли на вход в программу, и в зависимости от этого она регулирует права доступа к данным и возможность выполнения определенных функций по их обработке. Используются и ограничения на возможность выполнения определенных технологических операций.

В системе "Галактика" предусмотрен такой вариант, при котором доступ к тому или иному массиву документов или отчету может быть открыт, но при ограничениях на просмотр (корректировку) каких-либо реквизитов. Например, в оборотной ведомости материалов конкретному пользователю может быть разрешено просматривать остатки и обороты в натуральном выражении, но запрещено видеть их стоимостное выражение.

Внутренние механизмы защиты доступа к данным

К внутренним механизмам защиты можно отнести и различные средства шифрования информации базы данных.

Не погружаясь в технические детали, отметим, что применение данного способа защиты информации обычно в полной мере возможно лишь в системах автоматизации, которые функционируют в связке с мощными промышленными системами управления базами данных (СУБД) типа Oracle, MS SQL-server, Sybase, Informix, DB2 и т.д. Большинство же российских систем автоматизации бухгалтерского учета пока еще основываются на применении так называемых dbf-файлов, совершенно незащищенных от "внешнего" взгляда и управляемых СУБД, не поддерживающими развитых средств внутреннего шифрования данных.

Более сложные системы автоматизации даже в базовых, "легких" модификациях используют достаточно изощренные механизмы хранения и доступа к данным. Например, система "Галактика" в модификациях начального уровня использует менеджер записей bTrieve, который по сравнению с системами, основанными на dbf-файлах, содержит более совершенные механизмы защиты данных от несанкционированного доступа.

В наиболее распространенных российских разработках специализированные средства защиты данных, реализованные на прикладном уровне системы автоматизации, практически отсутствуют, и защита реализуется только на уровне механизмов используемой СУБД.

Оптимальным является вариант, когда предоставляемые СУБД средства защиты данных дополняются внутренними механизмами прикладной системы. Мы, например, все свои программные продукты, в том числе и "Галактику", базируем на фирменных средствах разработки, в основе которых лежит система "Атлантис", в которую изначально были заложены развитые функции защиты информации, которых не было в западных СУБД начального уровня.

Конечно, нет компьютерных систем, которые нельзя было бы взломать. Но, чем больше уровней защиты поддерживается, тем надежнее хранятся конфиденциальные данные, а следовательно, безопаснее осуществляется бизнес организации.

Подписано в печать И.Болдырева

03.05.2000 Корпорация "Галактика"

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——