Защита информации в экономических ИС
Понятие защиты информации, сущность информационной безопасности. Программные средства, обеспечивающие защиту. Обзор программных брандмауэров (на примере Firewall). Особенности реализации политики безопасности. Криптографические преобразования данных.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 16.05.2015 |
Размер файла | 54,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
35
Размещено на http://www.allbest.ru/
Курсовая работа
Защита информации в экономических ИС
Введение
Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.
Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.
Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты. Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д.
Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности, в том числе обществу, личности, государству, демократическим ценностям и общественным институтам, суверенитету, экономике, финансовым учреждениям, развитию государства.
Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.
Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.
Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность.
Для достижения поставленной цели необходимо решить определенный круг задач:
- Рассмотреть теоретические аспекты защиты информации;
- Изучить методы и средства защиты;
- Рассмотреть программный продукт, обеспечивающий информационную безопасность.
Глава 1. Теоретические аспекты защиты информации
1.1 Понятие защиты информации, информационной безопасности
Прогресс в новейших информационных технологиях делает весьма уязвимым любое общество. Каждый прорыв человечества в будущее не освобождает его от груза прошлых ошибок и нерешенных проблем. Когда экономические войны из-за интеграции национальных экономик стали слишком опасными и убыточными, а глобальный военный конфликт вообще способен привести к исчезновению жизни на планете, война переходит в иную плоскость - информационную.
Информационная война - информационное противоборство с целью нанесения ущерба важным структурам противника, подрыва его политической и социальной систем, а также дестабилизации общества и государства противника.
Информационное противоборство - форма межгосударственного соперничества, реализуемая посредством оказания информационного воздействия на системы управления других государств и их вооруженных сил, а также на политическое и военное руководство и общество в целом, информационную инфраструктуру и средства массовой информации этих государств для достижения выгодных для себя целей при одновременной защите от аналогичных действий от своего информационного пространства.
Информационная преступность - проведение информационных воздействий на информационное пространство или любой его элемент в противоправных целях. Как ее частный вид может рассматриваться информационный терроризм, то есть деятельность, проводимая в политических целях.
Информационное воздействие - акт применения информационного оружия.
Информационное оружие - комплекс технических и других средств, методов и технологий, предназначенных для:
· установления контроля над информационными ресурсами потенциального противника;
· вмешательство в работу его систем управления и информационных сетей, систем связи и т.п. в целях нарушения их работоспособности, вплоть до полного выведения из строя, изъятия, искажения содержащихся в них данных или направленного введения специальной информации;
· распространение выгодной информации и дезинформации в системе формирования общественного мнения и принятия решений;
· воздействие на сознание и психику политического и военного руководства, личного состава вооруженных сил, спецслужб и населения противостоящего государства, используемых для достижения превосходства над противником или ослабления проводимых им информационных воздействий.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют "компьютерным пиратом" (хакером).
Информационная безопасность включает:
ь состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;
ь состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;
ь состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как конфиденциальность, целостность и доступность;
ь финансовую и экономическую составляющую.
Обеспечение информационной безопасности должно начинаться с выявления субъектов отношений, связанных с использованием информационных систем. Спектр их интересов может быть разделен на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения), конфиденциальность (защита от несанкционированного ознакомления).
Понятие информационной безопасности в узком смысле этого слова подразумевает: надежность работы компьютера, сохранность ценных данных, защиту информации от внесения в нее изменений неуполномоченными лицами, сохранение тайны переписки в электронной связи.
К объектам информационной безопасности на предприятии относят:
· информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;
· средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.
При осуществлении коммерческой деятельности возникает информация, известность которой другим участникам рынка может существенно снизить доходность этой деятельности. В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается, и устанавливаемый режим ее использования призван предупредить возможность несанкционированного ознакомления с ней. В этом случае объектом безопасности выступает режим доступа к информации, а информационная безопасность заключается в невозможности нарушения этого режима. Примером могут служить информационно-телекоммуникационные системы и средства связи, предназначенные для обработки и передачи сведений, составляющих государственную тайну. Основным объектом безопасности в них является режим доступа к секретной информации. Информационная безопасность таких систем заключается в защищенности этой информации от несанкционированного доступа, уничтожения, изменения и других действий. Система обеспечения безопасности информации включает подсистемы:
Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.
Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.
Безопасное программное обеспечение представляет собой общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.
Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.
Политика - набор формальных правил, которые регламентируют функционирование механизма информационной безопасности. Корнеев И.Р. Информационная безопасность предприятия, 2003 г. - с.25
Угроза безопасности информации - события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.
Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.
Система - это совокупность взаимосвязанных элементов, подчиненных единой цели. Признаками системы являются следующие:
1. Элементы системы взаимосвязаны и взаимодействуют в рамках системы.
2. Каждый элемент системы может в свою очередь рассматриваться как самостоятельная система, но он выполняет только часть функций системы.
3. Система как целое выполняет определенную функцию, которая не может быть сведена к функциям отдельно взятого элемента.
4. Подсистемы могут взаимодействовать как между собой, так и с внешней средой и изменять при этом свое содержание или внутреннее строение.
Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:
· правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы действия;
· организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба безопасности, служба режима, служба защиты информации техническими средствами и др.
· аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно системы защиты информации;
· информационное обеспечение. Оно включает в себя документированные сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
· программное обеспечение. К нему относятся антивирусные программы, а также программы (или части программ регулярного применения), реализующие контрольные функции при решении учетных, статистических, финансовых, кредитных и других задач;
1.2. Виды угроз, объекты и задачи
Угроза информационной безопасности - это возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования. Цирлов В.Л. Основы информационной безопасности автоматизированных систем, 2008 - с. 10.
Угрозы безопасности информационным объектам подразделяются на 4 группы:
Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки.
Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.
Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.
Угрозы отказа от выполнения транзакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.
Транзакция -- это передача сообщений с подтверждением об их передаче и приеме.
Угрозы могут быть обусловлены:
естественными факторами (стихийные бедствия -- пожар, наводнение, ураган, молния и другие причины);
человеческими факторами, которые в свою очередь подразделяются на:
- пассивные угрозы (угрозы, носящие случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной “утечкой умов”, знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т.п.);
- активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром “мусора”; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной “утечкой умов”, знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам).
Способы воздействия угроз на информационные объекты подразделяются на: информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.
К информационным способам относятся:
нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;
несанкционированный доступ к информационным ресурсам;
манипулирование информацией (дезинформация, сокрытие или искажение информации);
незаконное копирование данных в информационных системах;
нарушение технологии обработки информации.
Программно-математические способы включают:
внедрение компьютерных вирусов;
установку программных и аппаратных закладных устройств;
уничтожение или модификацию данных в автоматизированных информационных системах.
Физические способы включают:
уничтожение и разрушение средств обработки информации и связи;
уничтожение, разрушение или хищение машинных или других носителей информации;
хищение программных или аппаратных ключей и средств криптографической зашиты информации;
воздействие на персонал;
поставку “зараженных” компонентов автоматизированных информационных систем.
Радиоэлектронными способами являются:
перехват информации в технических каналах ее возможной утечки;
внедрение электронных устройств перехвата информации в технические средства и помещения;
перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
воздействие на парольно-ключевые системы;
радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают:
невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;
неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.
1.3 Классификация вирусов по видам
Компьютерный вирус -- это программный код, встроенный или в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на компьютере. Ясенев В.Н. Автоматизированные информационные системы в экономике: Учебное пособие. - Н. Новгород, издательство ННГУ, 2003. - с. 185.
Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Калифорнии (США). Слово "вирус" латинского происхождения и означает "яд". Совершенно точных определений компьютерных вирусов не существует, однако можно эти объекты определить следующим образом. Карминский A.M. Информационные системы в экономике В 2-х ч.1, 2006 г., с.312
Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:
способности к саморазмножению;
высокой скорости распространения;
избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);
наличию в большинстве случаев определенного инкубационного периода.
Компьютерные вирусы подразделяются на: программные люки, троянские кони, логические бомбы, файловые вирусы, загрузочные вирусы, макровирусы.
Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим).
Троянским конем называются функции, реализуемые программой, но не описанные в документации. Человек, знающий эту функцию, может заставить работать программу непредсказуемым для окружающих способом.
Логической бомбой называют участок программы, который реализует некоторые действия при наступлении определенных условий. Эти условием может быть, например, наступление какой-то даты или появление какого-то имени файла. Действиями могут быть удаление файла или посылка сообщений.
Файловые вирусы внедряются в:
- выполняемые программы -- файлы типа ЕХЕ и СОМ (вирус получает управление при запуске зараженной программы);
- резидентные модули операционной системы и драйверы устройств с расширением SYS (активация вируса происходит при загрузке операционной системы);
- объектные файлы и библиотеки, вирус из которых будет встраиваться в написанную пользователем программу при сборке выполняемой программы.
Процесс заражения вирусом программных файлов можно представить следующим образом. В зараженной программе код последней изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-вирусоносителя. При передаче управления вирусу он каким-либо способом находит новую программу и выполняет вставку собственной копии в начало или добавление ее в конец этой, обычно еще не зараженной, программы. Если вирус дописывается в конец программы, то он корректирует код программы, с тем чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально выполняет свои функции.
Загрузочные вирусы. От файловых вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). На включенном компьютере они могут временно располагаться в оперативной памяти.
Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.
Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд.
В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.
Признаками воздействий вирусов на компьютерную систему служат следующие:
изменение даты создания и длины файла;
пропажа файла;
слишком частые обращения к диску;
непонятные ошибки;
“зависание” компьютера;
самопроизвольная перезагрузка операционной системы;
замедление работы процессора;
появление неожиданных графических и звуковых эффектов;
сообщения антивирусных программ.
Существуют три уровня защиты от компьютерных вирусов:
предотвращение поступления вирусов;
предотвращение вирусной атаки, если вирус все-таки поступил на компьютер;
предотвращение разрушительных последствий, если атака все-таки произошла.
Существуют три метода реализации защиты:
программные методы защиты;
аппаратные методы защиты;
организационные методы защиты.
Глава 2. Методы и средства защиты информации
2.1 Организационно-техническое обеспечение компьютерной безопасности
Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные.
Организационное обеспечение - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий: организационно-административные, организационно-технические, организационно-экономические.
Организационно-административные мероприятия предполагают:
· минимизацию утечки информации через персонал;
· выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации;
· выделение специальных средств компьютерной техники для обработки конфиденциальной информации;
Комплекс организационно-технических мероприятий состоит:
· в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
· в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;
· в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;
Организационно-экономические мероприятия предполагают:
· стандартизацию методов и средств защиты информации;
· сертификацию средств компьютерной техники и их сетей по требованиям информационной безопасности;
· страхование информационных рисков, связанных с функционированием компьютерных систем и сетей;
· лицензирование деятельности в сфере защиты информации.
По области применения технические средства противодействия подразделяются на две категории:
1. Устройства пассивного противодействия:
· детекторы радиоизлучений;
· средства защиты помещений;
· средства защиты телефонных аппаратов и линий связи;
· средства защиты информации от утечки по оптическому каналу;
· генераторы акустического шума;
· средства защиты компьютерной техники и периферийных устройств.
2. Устройства активного противодействия:
· системы поиска и уничтожения технических средств разведки;
· устройства постановки помех.
Для эффективного применения технических средств обеспечения информационной безопасности необходимо комплексное проведение организационных (в части технических средств), организационно-технических и технических мероприятий.
Защита информации от утечки по техническим каналам в общем плане сводится к следующим действиям:
· Своевременному определению возможных каналов утечки информации.
· Определению энергетических характеристик канала утечки на границе контролируемой зоны (территории, кабинета).
· Оценке возможности средств злоумышленников обеспечить контроль этих каналов.
· Обеспечению исключения или ослабления энергетики каналов утечки соответствующими организационными, организационно-техническими или техническими мерами и средствами.
Защита информации от утечки по визуально-оптическому каналу - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии. С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:
· располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения);
· уменьшить отражательные свойства объекта защиты;
· уменьшить освещенность объекта защиты (энергетические ограничения);
· использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды;
· применять средства маскирования, имитации и другие с целью защиты и введение в заблуждение злоумышленника.
Защита информации по акустическому каналу - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей. Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры.
Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий, а организационно-технические - пассивных (звукоизоляция, звукопоглощение) и активных (звукоподавление) мероприятий. Не исключается проведение и технических мероприятий за счет применения специальных защищенных средств ведения конфиденциальных переговоров.
Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей.
Организационно-технические меры предусматривают использование звукопоглощающих средств, таких как пористые и мягкие материалы типа ваты, ворсистые ковры, пенобетон, пористая сухая штукатурка и т.д. Это приводит к многократному отражению и поглощению звуковых колебаний.
Защита информации от утечки по электромагнитным каналам - это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.
Защита информации от утечки по материально-вещественному каналу - это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода информации за пределы контролируемой зоны в виде производственных или промышленных отходов. Меры защиты этого канала в особых комментариях не нуждаются.
Следует отметить, что при защите информации от утечки по любому из рассмотренных каналов следует придерживаться следующего порядка действий:
1. Выявление возможных каналов утечки.
2. Обнаружение реальных каналов.
3. Оценка опасности реальных каналов.
4. Локализация опасных каналов утечки информации.
5. Систематический контроль за наличием каналов и качеством их защиты.
Защита информации от утечки по техническим каналам - это комплекс мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.
Постулаты такой защиты:
1. Безопасных технических средств нет.
2. Любой электронный элемент при определенных условиях может стать источником образования канала утечки информации.
3. Любой канал утечки информации может быть обнаружен и локализован. «На каждый яд есть противоядие».
4. Канал утечки информации легче локализовать, чем обнаружить.
2.2 Электронная цифровая подпись и особенности ее применения
С давних времен от человека к человеку пересылались различные послания. Иногда это были подложные письма от подставного адресата. Чтобы этого избежать, ставились на бумаге признаки подлинности: подписи, печати и пр., что в полной мере не гарантировало от несанкционированного доступа к содержанию письма. В настоящее время пользователь, получив послание в электронном виде, должен быть уверен, что:
· достоверно установлен автор сообщения;
· послание не было искажено;
· обеспечена его конфиденциальность, т.е. с ним не знакомились посторонние лица.
Для обеспечения авторства и исключения возможности внесения искажений в текст документа используются различные механизмы шифрования (криптографии). Криптография - это наука об обеспеченности секретности и/или аутентичности (подлинности) передаваемых сообщений. Шифрование производится программными и аппаратными средствами.
Защита информации методом криптографического преобразования заключается в приведении ее к неявному виду путем преобразования составных частей информации с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ - это изменяемая часть криптографической системы, хранящаяся в тайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае. Для преобразования используется некоторый алгоритм или устройство, реализующее заданный алгоритм. Само же управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа.
Шифрование может быть симметричным и ассиметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования - другой, являющийся секретным.
При использовании симметричного шифрования порядок работы следующий.55 Аналоги в цифре. А. Волоховская. Ж. Бухгалтер и компьютер. №9(60). 2004 Исходный текст документа кодируется с применением специальных алгоритмов и некоего секретного (закрытого) ключа, превращаясь в строку символов, которая фактически и представляет собой цифровую подпись под документом. Электронная цифровая подпись (ЭЦП) добавляется к исходному тексту документа, и сформированный файл пересылается получателю. Для этого владелец ЭЦП вставляет дискету с закрытым ключом в дисковод и нажимает указателем мыши на соответствующую кнопку, что и означает подписание документа электронной подписью. Процесс проверки кода аутентификации у получателя, т.е. правильности ЭЦП, выполняется аналогичным образом. Преимущества этой системы заключаются в ее простоте и относительно невысокой стоимости. Условиями применения симметричной ЭЦП является взаимное доверие владельцев закрытого ключа, исключающее отказ от своей подписи под документом, изготовление подложных данных и пр. К тому же при рассылке неопределенному кругу лиц получать принципиально не может иметь заранее ключ. Если у Вас 50 корреспондентов, то Вам придется хранить 50 секретных ключей, по одному для каждого.
Названные проблемы позволяет решить криптография с открытым ключом, использующая ассиметричные алгоритмы шифрования.66 Козье Д. Электронная коммерция. Пер. с англ.: М., 1999. с. 68
Криптография с открытым ключом основана на концепции ключевой пары. Каждая половина пары (один ключ) шифрует информацию таким образом, что ее может расшифровать только другая половина (второй ключ). Одна часть ключевой пары - личный ключ, известна только ее владельцу. Другая половина - открытый ключ, распространяется среди всех его корреспондентов, но связана только с этим владельцем. Ключевые пары обладают уникальной особенностью: данные, зашифрованные любым из ключей пары, могут быть расшифрованы только другим ключом из этой пары. Другими словами, нет никакой разницы, личный или открытый ключ используется для шифрования послания; получатель сможет применить для расшифровки вторую половину пары.
Шифрование посланий открытым ключом принципиально не слишком отличается от симметричного шифрования с использованием секретного ключа, но все же имеет ряд преимуществ. Например, открытая часть ключевой пары может свободно распространяться без опасений, что это помешает использовать личный ключ. Не нужно рассылать копию своего открытого ключа всем корреспондентам; они смогут получить его на сервере вашей компании или у вашего провайдера.
Другое преимущество криптографии с открытым ключом в том, что она позволяет аутентифицировать отправителя послания. Поскольку вы - единственный, кто имеет возможность зашифровать какую-либо информацию вашим личным ключом, всякий, кто использует ваш открытый ключ для расшифровки послания, может быть уверен, что оно от вас. Таким образом, шифрование электронного документа вашим личным ключом схоже с подписью на бумажном документе.
Чтобы использовать систему криптографии с открытым ключом, необходимо сгенерировать открытый и личный ключи. Обычно это делается программой, которая будет использовать ключ (такой, как ваш Web-браузер или программа электронной почты). После того, как ключевая пара сгенерирована, вы должны хранить свой личный ключ в тайне от посторонних. Затем вам нужно распространить открытый ключ среди своих корреспондентов. Можете использовать для этого электронную почту, но вдруг вы забудете внести кого-то в список или у вас появятся новые корреспонденты: Кроме того, такой подход не обеспечит аутентификации: кто-то может сгенерировать ключевую пару и, назвавшись вами, разослать открытый ключ корреспондентам. После этого ничто не помешает ему отправлять сообщения от вашего имени.
Самый лучший и надежный способ распространения открытых ключей - воспользоваться услугами сертификационных центров. Сертификационный центр выступает как хранилище цифровых сертификатов. Он принимает ваш открытый ключ вместе с доказательствами вашей личности (какими - зависит от класса сертификата). После этого ваши корреспонденты могут обращаться в сертификационный центр за подтверждением вашего открытого ключа. Цифровые сертификаты выступают в роли электронного варианта удостоверения личности и, будучи общепринятым методом распространения открытых ключей, позволяют вашим корреспондентам убедиться, что вы на самом деле тот за кого себя выдаете.
Нет системы шифрования, идеально подходящей для всех ситуаций. В таблице 5 проведено сравнение преимуществ и недостатков каждого типа шифрования.77 Козье Д. Электронная коммерция. Пер. с англ.: М., 1999. с. 68
Таблица 5. Преимущества и недостатки криптографических систем
Тип шифрования |
Преимущества |
Недостатки |
|
Шифрование с симметричным ключом |
- быстрота; - легко реализовать аппаратно |
-оба ключа одинаковы; -трудно распространять ключи; -не поддерживает цифровые подписи |
|
Шифрование с открытым ключом |
-использовать два разных ключа; - относительно просто распространять ключи; -обеспечивает целостность и невозможность отказа от авторства (за счет цифровой подписи) |
- работает медленно; -требует больших вычислительных мощностей |
Известно, что алгоритмы защиты информации (прежде всего шифрования) можно реализовать как программным, так и аппаратным методом. Рассмотрим аппаратные шифраторы: почему они считаются более надежными и обеспечивающими лучшую защиту.
Аппаратный шифратор по виду и, по сути, представляет собой обычное компьютерное «железо», чаще всего это плата расширения, вставляемая в разъем системной платы ПК.
Производители аппаратных шифраторов обычно стараются насытить их различными дополнительными возможностями, среди которых:
1. Генерация случайных чисел. Это нужно, прежде всего, для получения криптографических ключей.
2. Контроль входа на компьютер. При включении ПК устройство требует от пользователя ввести персональную информации (например, вставить дискету с ключами). Работа будет разрешена только после того, как устройство опознает предъявленные ключи и сочтет их «своими». В противном случае придется разбирать системный блок и вынимать оттуда шифратор, чтобы загрузиться (однако, как известно, информация на ПК тоже может быть зашифрована).
3. Контроль целостности файлов операционной системы. Это не позволит злоумышленнику в ваше отсутствие изменить какие-либо данные. Шифратор хранит в себе список всех важных файлов с заранее рассчитанными для каждого контрольными суммами, и если при следующей загрузке не совпадает эталонная сумма хотя бы одного из них, компьютер будет блокирован.
Плата со всеми перечисленными возможностями называется устройством криптографической защиты данных - УКЗД.
Шифратор, выполняющий контроль входа на ПК и проверяющий целостность операционной системы, называют также «электронным замком». Понятно, что последним не обойтись без программного обеспечения - необходима утилита, с помощью которой формируются ключи для пользователей и ведется их список для распознания «свой/чужой». Требуется приложение для выбора важных файлов и расчета их контрольных сумм. Эти программы обычно доступны только администратору по безопасности, который должен предварительно настроить все УКЗД для пользователей, а в случае возникновения проблем разбираться в их причинах.
Глава 3. Програмные средства защиты информации
3.1 Программные брандмауэры (на примере Firewall)
Одним из наиболее распространенных механизмов защиты является применение межсетевых экранов - брандмауэров (firewalls).
Межсетевой экран (МСЭ) - это локальное (однокомпонентное) или функционально - распределенное программное (программно - аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из АС.88 Корнеев И.Р. Информационная безопасность предприятия, 2003 г. - с.495
Проблема межсетевого экранирования формулируется следующим образом. Пусть имеется две информационные системы или два множества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве.
Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая "информационная мембрана". В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа, в частности, фиксировать все "незаконные" попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.
Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия "внутри" и "снаружи", и задача экрана состоит в защите внутренней сети от "потенциально враждебного" окружения. Важнейшим примером потенциально враждебной внешней сети является Internet.
3.2 Пример реализации политики безопасности
Рассмотрим процесс практической реализации политики безопасности организации с помощью программного пакета FireWall-1.
1. Прежде всего, как уже отмечалось, разрабатываются и утверждаются на уровне руководства организации правила политики безопасности.
2. После утверждения эти правила надо воплотить в жизнь. Для этого их нужно перевести в структуру типа «откуда, куда и каким способом доступ разрешен или, наоборот, запрещен». Такие структуры, как мы уже знаем, легко переносятся в базы правил системы FireWall-1.
3. Далее, на основе этой базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии далее переносятся на физические компоненты сети, после чего правила политики безопасности "вступают в силу".
4. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а, также, запускают механизмы "тревоги", требующие от администратора немедленной реакции.
5. На основе анализа записей, сделанных системой, отдел компьютерной безопасности организации может разрабатывать предложения по изменению и дальнейшему развитию политики безопасности.
Рассмотрим простой пример реализации следующих правил.
1. Из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например, по UNIX-паролю.
2. Всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента.
3. Из Internet разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.
Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall-1.
После загрузки правил, FireWall-1 для каждого пакета, передаваемого по сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю.
Важным моментом является защита системы, на которой размещен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине, или по крайней мере строго ограничить список пользователей, которым это разрешено, а также принять меры по физическому ограничению доступа и по защите обычными средствами ОС UNIX.
3.3 Совершенствование системы защиты информации
Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению.
За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации "О государственной тайне", Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.
Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.
Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.
Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование на территории Российской Федерации конкурентоспособных российских информационных агентств и средств массовой информации.
Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных). Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.
Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.
В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения "информационного оружия" против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании.
Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения таких задач, как:
· разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
· развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
· обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
· создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
Заключение
Цель курсового исследования достигнута путём реализации поставленных задач. В результате проведённого исследования по теме "Защита информации в экономических информационных системах" можно сделать ряд выводов:
Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего внимания со стороны государства и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.
Под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения надежности передаваемой, хранимой и обрабатываемой информации.
Можно выделить несколько основных задач, решение которых в информационных системах обеспечивает защиту информации:
- организация доступа к информации только допущенных лиц;
- подтверждение истинности информации;
- защита от перехвата информации при передаче;
- защита от искажений и ввода ложной информации.
Защитить информацию - это значит:
· обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;
· не допустить подмены (модификации) элементов информации при сохранении ее целостности;
· не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
· быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.
Радикальное решение проблем защиты электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать важнейшие проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем.
Подобные документы
Комплексный подход в обеспечении информационной безопасности. Анализ процессов разработки, производства, реализации, эксплуатации средств защиты. Криптографические средства защиты информации. Основные принципы инженерно-технической защиты информации.
курсовая работа [725,1 K], добавлен 11.04.2016Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.
реферат [21,2 K], добавлен 17.01.2004Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.
контрольная работа [26,6 K], добавлен 26.05.2010Программно-технические способы обеспечения информационной безопасности: защита от несанкционированного доступа; системы аутентификации и мониторинга сетей; антивирусы; анализаторы протоколов; криптографические средства. Статистика утечек информации.
реферат [1,2 M], добавлен 29.01.2013Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
курсовая работа [350,4 K], добавлен 10.06.2014Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016