Будь умным!


У вас вопросы?
У нас ответы:) SamZan.net

темах Неотъемлемой частью любой организации в последние годы стала информационная система обеспечивающая

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 9.11.2024

Методы и средства защиты информации в экономических информационных системах

Неотъемлемой частью любой организации в последние годы стала информационная система, обеспечивающая управление производством, финансами, персоналом, документами и.т.п., все больше критически важной для предприятия информации хранится и обрабатывается в компьютерных системах.

Невозможно представить себе современного корпоративного сотрудника без компьютера, наполненного информацией, нарушение сохранности которой может обернуться очень серьезными потерями. Таким образом, при разработке ИС возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.

Обеспечение информационной безопасности — это непрерывный процесс, состоящий из комплекса правовых, организационных и программно-аппаратных мер защиты. В основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития. Информационная система, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.

  1.  Виды угроз безопасности хранимой информации

Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности.

Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.

Возможности злоупотреблений информацией, передаваемой по каналам связи, развивались и совершенствовались не менее интенсивно, чем средства их предупреждения. Для защиты информации требуется не просто разработка частных механизмов защиты, а организация комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации.

Сегодня рождается новая современная технология – технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем выявило наличие слабых мест в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.

Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.

Придерживаясь принятой классификации, будем разделять все источники угроз на внешние и внутренние.

Источниками внутренних угроз являются:

  •  сотрудники организации;
  •  программное обеспечение;
  •  аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

  •  ошибки пользователей и системных администраторов;
  •  нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
  •  ошибки в работе программного обеспечения;
  •  отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относятся:

  •  компьютерные вирусы и вредоносные программы;
  •  организации и отдельные лица;
  •  стихийные бедствия.

Формами проявления внешних угроз являются:

  •  заражение компьютеров вирусами или вредоносными программами;
  •  несанкционированный доступ (НСД) к корпоративной информации;
  •  информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
  •  действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
  •  аварии, пожары, техногенные катастрофы.

Все перечисленные нами виды угроз (формы проявления) можно разделить на случайные или умышленные и неумышленные.

Источником случайных угроз могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п.

Умышленные угрозы преследуют цель нанесения ущерба пользователям ИС и, в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных либо в системной информации и т.д.

Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

  •  несанкционированный доступ к информационным ресурсам;
  •  незаконное копирование данных в информационных системах;
  •  хищение информации из библиотек, архивов, банков и баз данных;
  •  нарушение технологии обработки информации;
  •  противозаконный сбор и использование информации;
  •  использование информационного оружия.

К программным угрозам относятся:

  •  использование ошибок и "дыр" в ПО;
  •  компьютерные вирусы и вредоносные программы;
  •  установка "закладных" устройств;

К физическим угрозам относятся:

  •  уничтожение или разрушение средств обработки информации и связи;
  •  хищение носителей информации;
  •  хищение программных или аппаратных ключей и средств криптографической защиты данных;
  •  воздействие на персонал;

К радиоэлектронным угрозам относятся:

  •  внедрение электронных устройств перехвата информации в технические средства и помещения;
  •  перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

  •  закупки несовершенных или устаревших информационных технологий и средств информатизации;
  •  нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ИС.

Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает:

  •  учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
  •  ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
  •  оперативный контроль  функционирования систем защиты секретной информации;
  •  контроль соответствия общесистемной программной среды эталону;
  •  приемку включаемых в ИС новых программных средств;
  •  контроль хода технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей;
  •  сигнализацию опасных событий и т.д.
    1.  Характеристика способов защиты данных в информационной системе

К основным средствам создания механизма защиты относятся: технические, физические и программные.

Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.).

Программные средства это программное обеспечение, специально предназначенное для выполнения функций защиты информации.

  •  Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах ее жизненного цикла (проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытание, эксплуатация). Организационные меры защиты регламентируют процессы функционирования системы обработки данных, порядок использования ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы максимально снизить возможность угроз безопасности.

Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил. К основным законам и подзаконным актам, регламентирующим деятельность в области защиты информации, относятся:

  •  Законы Российской Федерации
  •  Нормативные правовые акты Президента Российской Федерации;
  •  Нормативные правовые акты Правительства Российской Федерации;
  •  Руководящие документы Гостехкомиссии России;
  •  Уголовный кодекс Российской Федерации.
  •  Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Подобные нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека.

В ИС при организации безопасности данных используется комбинация нескольких механизмов.

Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение – будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст.

Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст. Метод преобразования в криптографической системе определяется используемым специальным алгоритмом, действие которого определяется уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической, контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.

Механизмы контроля доступа осуществляют проверку полномочий объектов ИС (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.

Механизм аутентификации выполняются каждый раз, когда пользователь вводит пароль для доступа к компьютеру, в сеть, к базе данных или при запуске прикладной программы. В результате их выполнения он получает либо доступ к ресурсу, либо вежливый отказ в доступе. Строго говоря, этот процесс состоит из двух частей – идентификации и аутентификации. Идентификация это предъявление пользователем какого-то уникального, присущего только ему признака-идентификатора. Это может быть пароль, какая-то биометрическая информация, например отпечаток пальца, персональный электронный ключ или смарт-карта и т.д. Аутентификация это процедура, проверяющая, имеет ли пользователь с предъявленным идентификатором право на доступ к ресурсу. Эти процедуры неразрывно связаны между собой, поскольку способ проверки определяет, каким образом и что пользователь должен предъявить системе, чтобы получить доступ.

  1.  Реализация методов защиты информации в ИС

Если ваш компьютер или корпоративная сеть является носителем ценной информации необходимо серьезно подумать перед подключением ее в Интернет и перед выполнением следующих рекомендаций выполнить по возможности все рекомендации по средствам защиты перечисленные выше. Провести тщательный анализ и изъятие конфиденциальной информации из подключаемой сети или персонального компьютера. Проконсультироваться со специалистами, занимающимися информационной безопасностью, и выполнить нижеизложенные рекомендации до подключения к Интернету.

При работе в сети Интернет на первое место выходит "межсетевой экран" или брандмауэр. Брандмауэр - неотъемлемая часть системы защиты, без которой невозможна разработка ее политики. Брандмауэр позволяет значительно уменьшить число эффективных внешних атак на корпоративную сеть или персональный компьютер, несанкционированный доступ к сети организации со стороны рабочих станций, удаленных и передающих серверов, включенных в сеть Интернет, снизить вероятность сбора и мониторинга сетевой информации в интересах третьих лиц, блокировать доступ ненужной и вредоносной информации в систему.

Использование VPN технологии, алгоритмов криптографирования (электронной подписи, сжатия с паролем, шифрования), позволяет снизить потери от несанкционированного программно-аппаратного доступа к информации, находящейся в канале связи Интернета. А также доступ к информации через электромагнитные излучения каналов связи и средств передачи информации Интернета, также доступ к информации, размещенной на удаленных и передающих серверах Интернета, сбор и мониторинг информации в интересах третьих лиц.

Дублирование канала Интернета, и сжатие информации позволяет повысить надежность системы в случае отказа или перегрузки канала связи и в случае стихийных бедствий.

Использование антивирусных средств, не без оснований, считается необходимым условием при подключении к Интернету, позволяет значительно снизить потери информации в результате заражения вредоносными программами.

Использование автоматизированных средств проверки сети на возможные уязвимости в системе защиты и аудита безопасности корпоративных серверов позволяет установить источники угроз и значительно снизить вероятность эффективных атак на корпоративную сеть или персональный компьютер.

Использование Proxy и анонимных серверов позволяет оставаться условно анонимным при действиях в Интернет и снизить риски, связанные со сбором и мониторинг сетевой информации в интересах третьих лиц, потоком ненужной и вредоносной информации в систему.

Использование систем ограничения доступа сотрудников к сетевым ресурсам Интернета, использование маршрутизаторов и надежных поставщиков сетевых услуг, кратковременного канала связи позволяют сократить сбор и мониторинг сетевой информации в интересах третьих лиц, поток ненужной и вредоносной информации в систему.




1. ДЕЛО О СТАКАНЧИКАХ Дата и время эфира- 7 марта 2012 года с 11-30 до 13-30 Место - г
2. Знакомство со средой программирования Borlnd C++ Builder6
3. COM-LEGISTM Философское учение Георга Вильгельма Фридриха Гегеля Своеобразие немецкой идеологии на рубеж
4. Тема 7- Оценка фактического питания подсчет калорий основного обмены использование эскиздиета.
5. Психология рекламного воздействия.html
6. Вариант ответов а б в
7. на тему- Бизнес план фитнес клуба
8. Расчет трафика сжатых пакетов
9. это попытка решения разработчиками языка С задач объектноориентированного программирования Object Oriented Progrmmi
10. Производство глиняного кирпича
11. Запишіть цей елемент у шостий рядок документу
12. Учет прочей дебиторской задолженност
13. Международный маркетинг
14. поясн мца кнаружи от него прямая мца бедра кнутри ~гребешковая латерально мал ягодичн мца; сзади mm
15. 2014 навчального року групи Кількість учнів за
16. Менеджмент Шпаргалка
17. Зеленые насаждения города Москвы
18. Тематика отчетных работ Предмет метод предпринимательского права
19. Сущность рекламы и её виды на промышленном рынке
20. Методология психологического исследования специальность Практическая психология заочная форма обуч