Реферат: Захист программного забезпечення

Щодо програмного захисту необхідно взяти до уваги наступне.

Будь-яка програмна захист може бути розкрита в кінцевий час.

Відомий спеціаліст з програмної захисту від копіювання А. Щербаков роз'яснює: «Вірність цього твердження випливає з того, що команди програми, що виконує захист, достовірно розпізнаються комп'ютером і в момент виконання присутні у відкритому вигляді як машинні команди. Отже, достатньо відновити послідовність цих команд, щоб зрозуміти роботу захисту. А таких інструкцій, вочевидь, може бути лише кінцеве число [4]

Апаратними називаються засоби захисту, що використовують спеціальне апаратне обладнання.

Апаратний захист є найбільш надійною, але занадто дорога і розрахована тому в основному на корпоративних замовників. В даний час багато фірм і організації в усьому світі працюють над тим, щоб зробити апаратну захист зручною і дешевої, а також розрахованої і на масового індивідуального користувача.

До програмно-апаратних засобів відносяться засоби, що комбінує програмну і апаратну захист. Це найбільш оптимальні засоби захисту. Вони володіють перевагами як апаратних, так і програмних засобів.

2.4 Надійність механізмів, алгоритмів, методів захисту

Для визначення надійності механізмів, алгоритмів і методів, що використовуються для захисту авторських прав в галузі програмного забезпечення, візьмемо за основу базові поняття і положення існуючих стандартів з оцінки безпеки інформаційних технологій.

Основними документами в області оцінки безпеки інформаційних технологій є:

«Критерії оцінки надійних комп'ютерних систем» (Trusted Computer Systems Evaluation Criteria, TCSEC) [5], відомі під назвою «Оранжева книга» (за кольором обкладинки), опубліковані в 1983 році Міністерством оборони США;

«Критерії оцінки безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, ITSEC) [6], відомі під назвою «Гармонізований критерії Європейських країн», опубліковані в 1991 році від імені відповідних органів Франції, Німеччини, Голландії та Великобританії;

Керівні документи Гостехкомісіі Росії [7-11], які є російськими нормативними документами за критеріями оцінки захищеності засобів обчислювальної техніки і автоматизованих систем, прийняті в 1992 році.

І нарешті, «Загальні критерії оцінки безпеки інформаційних технологій» (далі - Загальні критерії), що є міжнародним стандартом, в якому відображена сучасна нормативна база оцінки безпеки інформаційних технологій; прийняті в червні 1999 року. У розробці цього стандарту брали участь США, Канада, Англія, Франція, Голландія.

З позицій перерахованих нормативно-технічних документів оцінка безпеки інформаційних технологій - це методологія дослідження властивостей безпеки продукту або системи інформаційних технологій.

Зауваження. Під безпекою тут розуміється забезпечення цілісності, доступності, конфіденційності об'єкта оцінки.

Оцінка безпеки інформаційних технологій має якісне, а не кількісне вираження, і являє собою певним чином впорядковані якісні вимоги до механізмів забезпечення безпеки, їх ефективності та гарантованості реалізації.

Розглянемо базові поняття документів з оцінки безпеки інформаційних технологій, які слід застосовувати для оцінки надійності методів і механізмів захисту.

Надійність об'єкта оцінки розглядається як ступінь довіри, яку розумно надати даному об'єкту.

Гарантованість визначається як міра упевненості, з якою можна стверджувати, що заходи безпеки об'єкта ефективні і коректно реалізовані.

Для перевірки спроможності механізмів (методів) захисту протистояти зовнішнім (спроби злому) і внутрішнім (неправильна експлуатація) загрозам необхідно провести оцінку вразливості механізму (методу) захисту.

При оцінці вразливості з точки зору протидії зовнішнім загрозам необхідно:

провести аналіз вразливості (слабких місць) механізму;nn

оцінити потужність механізму.nn

Аналіз вразливості передбачає виявлення можливих недоліків механізму захисту, які могли б бути використані зловмисником для злому захисту. Передбачається різний рівень підготовленості та оснащеності зловмисника.

На основі аналізу уразливості оцінюється потужність механізму захисту.

Потужність механізму захисту - здатність захисного механізму протистояти прямим атакам.

Зауваження. У Загальних критеріях потужність механізму захисту отримала назву сили функції безпеки.

Для потужності механізму захисту визначені три градації потужності - базова, середня і висока.

Потужність механізму захисту оцінюється як базова, якщо аналіз показує, що механізм забезпечує адекватний захист проти ненавмисного або випадкового порушення безпеки об'єкта оцінки нападниками, що володіють низьким потенціалом нападу.

Іншими словами, механізм захисту має базової потужністю, якщо він здатний протистояти окремим випадковим загрозам (атак).