Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Неотъемлемой частью любой организации в последние годы стала информационная система, обеспечивающая управление производством, финансами, персоналом, документами и.т.п., все больше критически важной для предприятия информации хранится и обрабатывается в компьютерных системах.
Невозможно представить себе современного корпоративного сотрудника без компьютера, наполненного информацией, нарушение сохранности которой может обернуться очень серьезными потерями. Таким образом, при разработке ИС возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.
Обеспечение информационной безопасности — это непрерывный процесс, состоящий из комплекса правовых, организационных и программно-аппаратных мер защиты. В основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития. Информационная система, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.
Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности.
Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.
Возможности злоупотреблений информацией, передаваемой по каналам связи, развивались и совершенствовались не менее интенсивно, чем средства их предупреждения. Для защиты информации требуется не просто разработка частных механизмов защиты, а организация комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации.
Сегодня рождается новая современная технология – технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем выявило наличие слабых мест в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.
Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.
Придерживаясь принятой классификации, будем разделять все источники угроз на внешние и внутренние.
Источниками внутренних угроз являются:
Внутренние угрозы могут проявляться в следующих формах:
К внешним источникам угроз относятся:
Формами проявления внешних угроз являются:
Все перечисленные нами виды угроз (формы проявления) можно разделить на случайные или умышленные и неумышленные.
Источником случайных угроз могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п.
Умышленные угрозы преследуют цель нанесения ущерба пользователям ИС и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных либо в системной информации и т.д.
Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.
К информационным угрозам относятся:
К программным угрозам относятся:
К физическим угрозам относятся:
К радиоэлектронным угрозам относятся:
К организационно-правовым угрозам относятся:
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ИС.
Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает:
К основным средствам создания механизма защиты относятся: технические, физические и программные.
Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.
Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.).
Программные средства это программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил. К основным законам и подзаконным актам, регламентирующим деятельность в области защиты информации, относятся:
В ИС при организации безопасности данных используется комбинация нескольких механизмов.
Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение – будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст.
Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст. Метод преобразования в криптографической системе определяется используемым специальным алгоритмом, действие которого определяется уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической, контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов ИС (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.
Механизм аутентификации выполняются каждый раз, когда пользователь вводит пароль для доступа к компьютеру, в сеть, к базе данных или при запуске прикладной программы. В результате их выполнения он получает либо доступ к ресурсу, либо вежливый отказ в доступе. Строго говоря, этот процесс состоит из двух частей – идентификации и аутентификации. Идентификация это предъявление пользователем какого-то уникального, присущего только ему признака-идентификатора. Это может быть пароль, какая-то биометрическая информация, например отпечаток пальца, персональный электронный ключ или смарт-карта и т.д. Аутентификация это процедура, проверяющая, имеет ли пользователь с предъявленным идентификатором право на доступ к ресурсу. Эти процедуры неразрывно связаны между собой, поскольку способ проверки определяет, каким образом и что пользователь должен предъявить системе, чтобы получить доступ.
Если ваш компьютер или корпоративная сеть является носителем ценной информации необходимо серьезно подумать перед подключением ее в Интернет и перед выполнением следующих рекомендаций выполнить по возможности все рекомендации по средствам защиты перечисленные выше. Провести тщательный анализ и изъятие конфиденциальной информации из подключаемой сети или персонального компьютера. Проконсультироваться со специалистами, занимающимися информационной безопасностью, и выполнить нижеизложенные рекомендации до подключения к Интернету.
При работе в сети Интернет на первое место выходит "межсетевой экран" или брандмауэр. Брандмауэр - неотъемлемая часть системы защиты, без которой невозможна разработка ее политики. Брандмауэр позволяет значительно уменьшить число эффективных внешних атак на корпоративную сеть или персональный компьютер, несанкционированный доступ к сети организации со стороны рабочих станций, удаленных и передающих серверов, включенных в сеть Интернет, снизить вероятность сбора и мониторинга сетевой информации в интересах третьих лиц, блокировать доступ ненужной и вредоносной информации в систему.
Использование VPN технологии, алгоритмов криптографирования (электронной подписи, сжатия с паролем, шифрования), позволяет снизить потери от несанкционированного программно-аппаратного доступа к информации, находящейся в канале связи Интернета. А также доступ к информации через электромагнитные излучения каналов связи и средств передачи информации Интернета, также доступ к информации, размещенной на удаленных и передающих серверах Интернета, сбор и мониторинг информации в интересах третьих лиц.
Дублирование канала Интернета, и сжатие информации позволяет повысить надежность системы в случае отказа или перегрузки канала связи и в случае стихийных бедствий.
Использование антивирусных средств, не без оснований, считается необходимым условием при подключении к Интернету, позволяет значительно снизить потери информации в результате заражения вредоносными программами.
Использование автоматизированных средств проверки сети на возможные уязвимости в системе защиты и аудита безопасности корпоративных серверов позволяет установить источники угроз и значительно снизить вероятность эффективных атак на корпоративную сеть или персональный компьютер.
Использование Proxy и анонимных серверов позволяет оставаться условно анонимным при действиях в Интернет и снизить риски, связанные со сбором и мониторинг сетевой информации в интересах третьих лиц, потоком ненужной и вредоносной информации в систему.
Использование систем ограничения доступа сотрудников к сетевым ресурсам Интернета, использование маршрутизаторов и надежных поставщиков сетевых услуг, кратковременного канала связи позволяют сократить сбор и мониторинг сетевой информации в интересах третьих лиц, поток ненужной и вредоносной информации в систему.