Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
ЛЕКЦИЯ.
ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Важность информации для управления (в том числе государственного управления) приводит к необходимости уделять большое внимание безопасности информационных систем и защите информации. При этом используемые термины закреплены в документах специальных государственных организаций, которые обеспечивают информационную безопасность государства.
Под безопасностью ИС понимается защищенность системы от следующих действий
Под угрозой безопасности информации понимаются события или действия, результатом которых является
1) искажение
2) несанкционированное использование
3) разрушение
информационных ресурсов управляемой системы.
ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Для анализа угроз информационной безопасности производится классификация этих угроз. В соответствии с целенаправленностью выделяются:
а) Случайные (непреднамеренные). Источники: выход из строя аппаратных средств, неправильные действия пользователей ИС, непреднамеренные ошибки в ПО и т.д.
б) Умышленные
В соответствии с источниками угроз выделяются:
Внутренние угрозы (внутри управляемой организации) являются следствием социальной напряженности и тяжелым моральным климатом в коллективе Внешние угрозы: действия конкурентов, террористов, стихийные бедствия и т.д.
В соответствии с характером угроз выделяются:
а) Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов и не оказывают влияние на функционирование ИС (например, несанкционированный доступ к БД, прослушивание каналов связи и т.д.).
б) Активные угрозы нарушают нормальное функционирование ИС путем целенаправленного воздействия на компоненты ИС (вывод из строя компьютера и ОС, разрушение ПО, нарушение работы линий связи и т.д.). Источники АУ: непосредственные действия хакеров, действия специальных программ.
Рассмотрим более подробно активные угрозы.
Атака на ИС – попытка реализации хакером любого вида угрозы. Обычно используются два вида атак:
- Маскарад (выполнение действий одного пользователя под видом другого пользователя, например, в системе электронных платежей).
- Взлом системы (проникновение в систему, не имея санкционированных параметров входа через ошибки системы идентификации, перебор паролей и т.д.).
Специальные вредоносные программы также представляют собой активные угрозы безопасности информации.
Типы вредоносных программ:
Логическая бомба (часть программы, искажающая или уничтожающая информацию при наступлении некоторого события). Логическая бомба срабатывает единовременно.
Троянский конь (программа, выполняющая в дополнение к запроектированным и документированным действиям, еще и действия, не описанные в документации). Эта программа действует в рамках полномочий одного пользователя, но в интересах другого пользователя. Троянский конь обычно действует в течение определенного периода времени.
Вирус (программа, которая может заражать другие программы путем включения в них своей модифицированной копии, обладающей способностью к дальнейшему копированию): 1) способность к размножению; 2) способность к вмешательству в вычислительный процесс.
Червь (программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе). Червь копируется (полностью или частично) только на узлы сети, а вмешивается в вычислительные процессы отдельных компьютеров сети.
Захватчик паролей (программа, считывающая имена и пароли пользователей сети).
ОСНОВНЫЕ ВИДЫ ПАССИВНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Пассивные угрозы, казалось бы, не наносят вреда информационной системе, тем не менее, они очень опасны. Их опасность связана в большей степени с объектом управления. Рассмотри основные виды пассивных угроз безопасности:
1. Утечка конфиденциальной информации (бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она доверена по службе или стала известной в процессе работы):
*Разглашение конфиденциальной информации
*Бесконтрольный уход информации по визуально-оптическим, акустическим, электромагнитным и др. каналам
*Несанкционированный доступ к конфиденциальной информации.
Наиболее распространенные пути несанкционированного доступа.
Аппаратные:
- перехват электронных излучений;
- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
- применение подслушивающих устройств (закладок);
- дистанционное фотографирование;
- перехват акустических излучений и восстановление текста принтера;
- незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;
Программные:
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации с преодолением мер защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запросы системы;
- использование программных ловушек;
- использование недостатков языков программирования и операционных систем;
- расшифровка специальными программами зашифрованной информации.
Мы подробно рассмотрели угрозу, связанную с утечкой конфиденциальной информации. Другие виды пассивных угроз:
2. Компрометация информации;
3. Ошибочное использование информационных ресурсов
4. Несанкционированный обмен информацией между абонентами
5. Отказ от информации (непризнание получателем информации фактов ее получения)
6. Нарушение информационного обслуживания
7. Незаконное использование привилегий.
Условием, способствующим реализации многих видов угроз ИС, является наличие люков (скрытых недокументированных точек входа в программный модуль, входящий в состав ПО ИС). Люки вставляются в программу для независимой отладки отдельных модулей и могут остаться по следующим причинам:
а) забыли убрать;
б) для дальнейшей отладки;
в) для обеспечения поддержки готовой программы;
г) для тайного доступа к программе после ее установки.
ОЦЕНКА БЕЗОПАСНОСТИ ИС.
США. Вопросами стандартизации и разработки нормативных требований на защиту информации занимается Национальный центр компьютерной безопасности министерства обороны США (NCSC – National Computer Security Center). В 1983 г. центр разработал критерии оценки безопасности компьютерных систем (TCSEC – Trusted Computer System Evaluation Criteria). Этот документ обычно называют «оранжевой книгой». В. 1985 г. ОК утверждена в качестве правительственного стандарта. В ОК приводятся следующие уровни безопасности систем:
- Высший класс – А
- Промежуточный класс – В
- Низкий уровень безопасности С
- Класс систем не прошедших испытания – D.
Класс С разбивается на два подкласса: С1 и С2; класс В на три подкласса: В1, В2, В3.
Чем выше уровень, тем более высокие требования предъявляются к системе.
В части стандартизации аппаратных средств ИС и телекоммуникационных сетей в США разработаны правила стандарта TEMPES (Transient Electromagnetic Pulse Emanations Standard).
РОССИЯ. Руководящие документы в области защиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования этих документов обязательны для исполнения только в государственном секторе и в коммерческих организациях, обрабатывающих информацию, содержащую гос.тайну. Для остальных структур документы носят рекомендательный характер.
В одном из документов, носящем название «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации», приведена классификация АИС на классы по условиям их функционирования в целях разработки мер по достижению требуемого уровня безопасности. Устанавливается 9 классов защищенности, каждый из которых характеризуется определенной минимальной совокупностью требований по защите. Система информационной безопасности (СИБ) включает в себя следующие подсистемы:
- подсистема управления доступом;
- подсистема регистрации и учета (ведение журналов и статистики);
- криптографическая подсистема (использование различных механизмов шифрования);
- подсистема обеспечения целостности;
- подсистема законодательных мер;
- подсистема физических мер.
В документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности» определены 7 классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.
Методика оценки защищенности ИС в России (как и в США) состоит в отнесении оцениваемой системы к определенному классу защищенности. Класс защищенности ИС – определенная совокупность требований по защите ИС.
МЕТОДЫ И СРЕДСТВА ПОСТРОЕНИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Важность вопросов защиты информации приводит к необходимости создания в рамках информационных систем специальных подсистем называемых системами информационной безопасности. Конечно, этими вопросами занимаются специалисты по защите информации, но общие принципы построения систем информационной безопасности должны быть известны и специалистам по государственному управлению.
Создание систем информационной безопасности (СИБ) в ИС основывается на следующих принципах:
В рамках комплекса средств и ресурсов, используемых системой информационной безопасности выделяют основные составляющие, называемые различными типами обеспечения.
Работа СИБ должна быть обеспечена использованием специальных средств и ресурсов:
Общие подходы к обеспечению информационной безопасности могут быть конкретизированы в виде отдельных методов. Рассмотрим классификацию этих методов.
Методы обеспечения безопасности в ИС разделяются на формальные и неформальные методы.
Формальные методы бывают двух типов:
* технические (физические (препятствия) или аппаратные (управление доступом)); * программные (шифрование, антивирусная борьба)
Препятствие – физическое преграждение пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом – регулирование использования всех ресурсов ИС.
- идентификация пользователей, персонала и ресурсов системы (присвоение объектам персональных идентификаторов);
- опознание (установление подлинности) объектов (субъектов) по предъявленным идентификаторам;
- проверка полномочий (проверка соответствия идентификатора текущему времени, запрашиваемых ресурсов и процедур);
- разрешение и создание условий работы в пределах полномочий;
- регистрация (протоколирование) обращений к защищаемым ресурсам;
-реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.д.) при попытках несанкционированных действий.
Механизмы шифрования – криптографическое закрытие информации.
Использование закрытых секретных ключей.
Использование открытых ключей.
Алгоритмы шифрования:
- DES (Data Encryption Standard), Rainbow (США).
Разработан фирмой IBM для собственных нужд, но после проверки АНБ США рекомендован в качестве федерального стандарта. Гибкость, но малая длина ключа.
- Гост 28147-89 (Россия). Большая надежность, но сложность реализации.
Использование открытых ключей.
RSA (несколько открытых ключей шифрования, но закрытый ключ расшифровки)
Электронная подпись (закрытый ключ шифрования, но открытый ключ расшифровки).
Противодействие атакам вредоносных программ предусматривает организационные меры и использование специальных (например, антивирусных) программ, целью которых является:
- предварительное уменьшения возможности инфицирования и его последствий;
- выявление фактов инфицирования системы;
- локализация и уничтожение вирусов;
- восстановление информации и работоспособности системы.
Неформальные методы бывают трех типов:
*Организационные (регламентация)
*Законодательные (принуждение)
*Морально-этические (побуждение).
Регламентация – создание условий эффективной эксплуатации ИС, при которых нормы и стандарты по защите информации выполняются в наибольшей степени.
Принуждение – метод защиты, вынуждающий пользователей и персонал ИС выполнять правила под угрозой материальной, административной и уголовной ответственности.
Побуждение – метод защиты, связанный с добровольным выполнением правил за счет соблюдения моральных и этических норм (Кодекс поведения членов Ассоциации пользователей ЭВМ США).
AUTHOR Lomazov стр. PAGE 7 DATE \@ "dd.MM.yyyy" 20.01.2012
FILENAME Лекция 9 Защита информации в ИС new.doc