Размещено на http://www.allbest.ru/

Содержание

• Введение
• 1. Виды информационных систем и защита информации в них
• 1.1 Информационная система и ее виды
• 1.2 Структура ИС и принципы ее функционирования
• 1.2 Обработка информации в ИС
• 1.3 Проблемы, возникающие в процессе защиты ИС различных видов. Характеристики, влияющие на безопасность информации в ИС
• 2. Электронная цифровая подпись (ЭЦП) и ее применение для защиты информационной системы предприятия
• 2.1 Понятие электронной цифровой подписи и возможности ее применения
• 2.2 Организационные мероприятия необходимые для получения ЭЦП и настройка рабочего места
• 3. Разработка мер по усовершенствованию информационной системы ООО «ГК Русэнерго» на основе применения ЭЦП.
• 3.1 Организационно-экономическая характеристика предприятия
• 3.2 Анализ защищенности хозяйствующего субъекта ООО «ГК Русэнерго», применение ЭЦП в его информационной системе
• 3.3 Выработка практических рекомендаций по усовершенствованию информационной системы ООО «ГК Русэнерго» на основе применения ЭЦП
• Заключение
• Библиографический список
• Приложение

Введение

Актуальность. В современных условиях быстрота принятия решений и их оперативная реализация выступают решающими факторами успешной работы и достижения поставленных целей, а наличие и широкое использование информационно-телекоммуникационных систем является залогом эффективной работы любого предприятия, в условиях быстрого роста объемов обрабатываемой информации, требуемой для обеспечения эффективной коммерческой деятельности. Помимо этого без применения информационных систем не возможно осуществление перехода предприятия к электронным формам управления и электронному документообороту.

Объектом исследования в нашей работе является информационная система защиты ООО «ГК Русэнерго».

Предметом исследования в данной работе станет применение электронной цифровой подписи для защиты информационной системы хозяйствующего субъекта (на примере ООО «ГК Русэнерго»).

Целью нашей выпускной квалификационной работы является исследования защиты информационной системы ООО «ГК Русэнерго» при помощи электронной цифровой подписи и выработка практической рекомендации по ее усовершенствованию.

Основные задачи, поставленные при выполнении данной работы:

- разобрать роль информационной системы в управлении хозяйствующим субъектом.

- выяснить роль электронной цифровой подписи в информационной системе;

- дать оценку состоянию защищенности хозяйствующего субъекта ООО «ГК Русэнерго» и его информационной системе;

- рассмотреть использование ЭЦП для защиты информационной системы ООО «ГК Русэнерго»;

- выработать практические рекомендации по усовершенствованию информационной системы ООО «ГК Русэнерго» на основе применения ЭЦП.

В условиях необходимости быстроты принятия управляющих решений и большого объема обрабатываемой для этих целей информации, информационная система становится фактором позволяющим получить следующий ряд преимуществ:

- повысить эффективность управления бизнес-процессами за счет улучшения исполнительской дисциплины;

- оптимизировать контроль выполнения поставленных задач;

- увеличить быстроту и качество анализа организационно-распорядительной деятельности;

- повысить оперативность и качество управленческих решений;

- повысить эффективность работы и надежность функционирования предприятия;

- сократить излишнее количество сотрудников в организации;

- обеспечить надежность учета и хранения документов;

- существенно снизить непроизводительные затраты рабочего времени;

- создать единое информационное пространство предприятия;

- организовать эффективный контроль различных направлений деятельности предприятия (организации) и др.

Информационные ресурсы и информационные системы относятся к ряду основных защищаемых элементов во всех сферах жизнедеятельности современных предприятий. Сегодня активно развиваются средства негативного информационного воздействия на эти элементы, противодействие которым требует системного (комплексного) подхода для обеспечения информационной безопасности. Системность такого подхода заключается в совместном использовании правовых, инженерно-технических, программно-аппаратных и организационных методов защиты информации, действующего на протяжении всего времени существования организации, в непосредственном контакте (сотрудничестве) с органами правопорядка и местного самоуправления.

Создание и организация функционирования любых современных структур и систем, прежде всего, требует обеспечения их информационного взаимодействия не только внутри системы, но и с внешней средой. Это взаимодействие должно быть максимально надежно и безопасно, что в условиях постоянно возрастающих атак злоумышленников на данные системы без применения комплексного подхода к данной проблеме и применения новейших информационных технологий осуществить практически не возможно.

В настоящее время для повышения надежности и безопасности информационных систем от воздействия внешних и внутренних угроз, направленных на уничтожение, хищение, изменение и блокировку информации циркулирующей по каналам связи ИС и хранящейся в ее базах данных, а также для существенного расширения рамок использования ИС широкое применение получило применение электронной цифровой подписи.

В этой работе для выполнения поставленных задач мы будем опираться на следующие методы исследований:

- Наблюдение - это метод научного познания, состоящий из действий, направленных на восприятие явлений действительности. При использовании наблюдения получают информацию о свойствах и отношениях исследуемых объектов (используется при исследовании защищенности исследуемой организации).

- Метод прогнозирования представляет собой заключение о тенденциях развития исследуемого объекта (используется при выработке практических рекомендаций).

- Анализ представляет собой расчленение явления или процесса на составные части (некоторые свойства, признаки и т.д.) и их разностороннее изучение (используется при переработке используемей литературы и материалов).

- Аналогия - это метод научного познания, который основан на сходстве объектов исследования по некоторым признакам. При этом на основании признаков одного объекта выводится заключение о сходстве по другому объекту (используется при определении категории исследуемого объекта).

Крупный вклад в развитие теории и практики безопасности сложных информационных технических, систем, их информационного взаимодействия, защиты программных и информационных ресурсов внесли отечественные ученые, в их числе академики Н. А. Кузнецов, В, А. Садовничий, К. В. Фролов, а также такие известные ученые, как В. А. Герасименко, А. А. Грушо, П. Д. Зегжда, В. А. Конявский, Г. О. Крылов, А. А. Малюк, Б. А. Погорелов, П. Расторгуев, В. Н. Саблин, А. А. Стрельцов, М. П. Сычев, А. Ю. Щербаков и другие. Ими была сформирована теоретическая и практическая база для разработки теоретических положений и практического использования средств защиты информации, электронных документов и информационных технологий электронного документооборота.

В научных исследованиях в области информационной безопасности вышеперечисленных ученых выделяются два качественно разных направления. Первое это защита информации в форме сведений на традиционном носителе (бумажном, магнитном, оптическом). Второе защита процессов преобразования информации с помощью информационных технологий. Результатами исследований обоих направлений в полной мере пользуются при организации защиты информационных систем организаций от несанкционированного доступа к информации при ее сборе, хранении, обработке и транспортировке (передаче файлов по каналам связи), в том числе с использованием технологий криптозащиты с применением электронной цифровой подписи (ЭЦП).

В нашей работе мы будем опираться на результаты исследований обоих направлений, используя системный (комплексный подход) и методы исследований приведенные выше, для оценки защищенности информационной системы ООО «ГК Русэнерго» на основе применения электронной цифровой подписи и выработке практических рекомендаций по ее усовершенствованию.

1. Виды информационных систем и защита информации в них

1.1 Информационная система и ее виды

В условиях современного динамично меняющегося рынка, наличия жесточайшей конкуренции, непрерывного воздействия других негативных факторов (как внешних, так и внутренних) на стабильность организации любой формы возникает множество проблем, связанных с повышением эффективности и качества управления этой организацией.

В такой ситуации, когда обстановка постоянно изменятся, число принимаемых решений растет, их последствия все сложнее прогнозировать, а цена ошибки с каждым днем повышается, очевидно, что без достаточного информационного обеспечения, невозможно принимать правильные взвешенные решения, которые непосредственно влияют на судьбу предприятия (организации) на его развитие и жизнеспособность.

Одним словом, информация представляет собой незаменимое сырьё для выработки и принятия любого решения, такое же сырьё, как и любое другое, которое необходимо добыть, переработать и поставить до истечения срока годности тому, кому оно необходимо. Все это определяет необходимость внедрения сложных систем сбора, обработки, анализа, хранения и передачи информации - информационных систем.

Информационня система (ИС) - это организационно- техническая система, реализующая информационные технологии и предусматривающая аппаратное, программное и другие виды обеспечения, а также персонал предприятия имеющий соответствующую подготовку (квалификацию).

Под информационной системой можно также понимать автоматизированную систему, предназначенную для организации хранения, пополнения, обработки, поддержки и предоставления пользователю (сотрудникам) информации в соответствии с их запросами и уровням допуска к данной информации.

Другими словами информационная система - это сложная распределенная в пространстве система, состоящая из множества сосредоточенных (локальных) подсистем (информационных узлов), располагающих программно-аппаратными средствами реализации информационных технологий, и множества средств, обеспечивающих соединение и взаимодействие этих подсистем с целью предоставления территориально удаленным пользователям широкого набора услуг из сферы информационного обслуживания.

Целью любой информационной системы, не зависимо от области ее применения, программного и аппаратного обеспечения, является предоставление полной, достоверной и своевременной информации.

Информационные системы можно разделить на две основные группы:

- системы информационного обеспечения;

- системы, имеющие самостоятельное целевое назначение и область применения.

Системы (или подсистемы) информационного обеспечения входят в состав любой ИС. Они - важнейшие компоненты интенсивно развиваемых в настоящее время систем, систем автоматизированного проектирования, автоматизированных систем научных исследований, систем автоматизированного управления предприятием, электронного документооборота и др.

К числу ИС самостоятельного назначения относятся информационно-поисковые системы (ИПС), информационно-справочные (ИСС) и информационно-управляющие (ИУС). Информационно-поисковые и информационно-справочные системы предназначены для хранения и предоставления пользователю информации (данных, фактографических записей, текстов, документов, и т.п.) в соответствии с некоторыми формально задаваемыми характеристиками.

Для ИПС и ИСС характерны два этапа функционирования:

- сбор и хранение информации;

- поиск и выдача информации пользователю.

Движение информации в таких системах осуществляется по замкнутому контуру от источника к потребителю. При этом ИСС и ИПС выступают лишь как средство ускорения поиска данных.

Наиболее сложный процесс с точки зрения его реализации - поиск информации, осуществляемый в соответствии со специально задаваемым поисковым образом документа, текста и т.п. Для оценки смысловой релевантности вводятся критерии смыслового соответствия, а для оценки соответствия поисковых признаков (формальной релевантности) критерии формального соответствия текстов, по которым осуществляется сравнение и определение соответствия найденных текстов запросам пользователей.

В зависимости от режима организации поиска ИПС и ИСС могут быть разделены на: документальные, библиографические, библиотечные, фактографические.

Документальными называют информационно-поисковые системы, в которых реализуется поиск в информационном фонде ИПС документов или текстов в соответствии с полученным запросом с последующим предоставлением пользователю этих документов или их копий. Вся обработка информации в документальных ИПС осуществляется пользователем.

В зависимости от того, по каким хранимым документам или по их описаниям (вторичным документам) осуществляется поиск, документальные ИПС делят на системы с библиотечным или с библиографическим поиском. В первом случае поиск ведется в информационном фонде, содержащем первичные документы, во втором в информационном фонде вторичных документов.

Заметим, что наибольшее практическое значение имеют документальные ИПС, поиск в которых организован по двум контурам: библиографическому, с определением основных характеристик первичного документа и предоставлением пользователю возможности оценить, может ли данный документ удовлетворить его информационные потребности, и библиотечному, когда в информационном фонде осуществляется нахождение требуемого документа с последующей его (или копии) выдачей пользователю.

Фактографические информационно-поисковые системы реализуют поиск и выдачу фактов, текстов, документов, содержащих сведения, которые могут удовлетворить поступивший запрос пользователя. В этом случае осуществляется поиск не какого-то конкретного документа, а совокупности сведений по данному запросу, хранящихся в информационном фонде ИПС или ИСС. Отметим, что основным отличием фактографических информационно-поисковых систем от документальных является то, что эти системы выдают пользователю не какой-либо ранее введенный документ, а уже в той или иной степени обработанную информацию.

Широкое применение в таких системах находят персональные компьютеры, локальные и распределенные сети, средства передачи данных и многие другие технические устройства. Они пронизали структуры ИС на всех уровнях и являются их неотъемлемой частью.

ИС общего пользования предназначены для различных сфер применения независимо от конкретного содержания данных, обрабатываемых в ИС. Средства, структура и функциональные возможности таких ИС оказываются одинаковыми для многих случаев применения и обеспечивают широкий диапазон услуг. Это, как правило, большие системы, использующие в качестве базовых коммуникационных подсетей государственные системы передачи данных. Практика использования сетей общего пользования привела к необходимости разработки программно-аппаратных средств, реализующих принципы открытости, универсальности сетей и типизации технических решений [20, с.41].

ИС специального назначения предназначены для решения задач в определенной предметной или ведомственной области.

Качество ИС можно оценить по следующим показателям:

- общее число связей ИС - определяет потенциальную способность устанавливать взаимодействия между пользователями и распределенными ресурсами;

- временные характеристики качества ИС - оценивают скорость обслуживания пользователя по следующим показателям: среднее время доступа, зависимое от размеров системы, удаленности пользователей, загрузки системы запросами, поступающими от других пользователей;

- среднее время обслуживания, показывающее время, затрачиваемое на обработку запроса пользователя в том или ином режиме и др.;

- надежность обслуживания - характеризуется вероятностью безотказной работы ИС при взаимодействии с ней пользователя, удобством доступа в обслуживании, а также наличием средств диагностики и резервирования, применяемых для улучшения качества обслуживания и повышения надежности;

- достоверность передачи - сохранность и целостность информации;

- возможность доступа к информационным и вычислительным ресурсам; обеспечивается математическими средствами и протоколами, гарантирующими функции вызова и активизации запрашиваемых ресурсов с учетом полномочий пользователя.

Не мене важно чтобы ИС специального назначения обеспечивала выполнение следующих принципов.

Целостность - свойство информации, состоящее в ее существовании в неискаженном виде, неизменном по отношению к некоторому фиксированному ее состоянию.

Конфиденциальность свойство информации, состоящее в том, что она не может быть обнаружена и стать доступной без разрешения отдельным лицам, модулям или процессам.

Доступность информации свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризуемое способностью обеспечивать своевременный беспрепятственный доступ к интересующей информации, когда в этом возникает необходимость, не нарушая при этом существующую систему допуска к соответствующей информации [20, с.42].

Информационные системы способствуют значительному повышению эффективности и скорости информационного обеспечения, однако при этом резко возрастает угроза сохранности информации. В недалеком будущем ИС могут стать составной частью жизни общества. Их неправильное функционирование может вызвать гибельные последствия для правительств, общества, бизнеса и отдельного гражданина (стоит лишь задуматься о последствиях неправильного функционирования электронной почты или банковской службы). Поэтому дальновидные руководители не жалеют средств на защиту нужной информации.

Основой для изучения теории ИС являются исходные положения теории информационных процессов. Под информационным процессом в технике понимают совокупность взаимосвязанных и взаимообусловленных процессов выявления, анализа, ввода и отбора информации, ее передачи и обработки, хранения, поиска, выдачи, принятия решений и т.д.

Кроме того, ИС характеризуют:

- наличие прямых, обратных, многоканальных и разветвленных связей, а также процессов управления;

- сложность, понимаемая как принципиальная невозможность в полной мере, без дополнительных условий и ограничений, иметь адекватное формализованное описание;

- обилие разнообразных составляющих информационного процесса, распределенных в пространстве, непрерывно сменяющих друг друга во времени.

Информация - сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами. Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов [18].

1.2 Структура ИС и принципы ее функционирования

информационный электронный цифровой подпись

Основой современных ИС, как правило, являются территориально распределенные компьютерные системы (вычислительные сети) интенсивно взаимодействующие. Основу аппаратных (технических) средств таких систем составляют ЭВМ (группы ЭВМ), периферийные, вспомогательные устройства и средства связи, сопрягаемые с ЭВМ. Состав программных средств определяется возможностями ЭВМ и характером задач, решаемых при обработке информации. Структурная схема ИС представлена на Рис. 1.

Из множества компонентов ИС для рассмотренных в данной работе выделим следующие объекты, которые в свою очередь могут быть разбиты на соответствующие составные элементы:

- локальная сеть;

- каналы и средства связи (КС);

- узлы коммутации;

- условный кабинет руководителя (либо любое другое помещение, где для обработки информации используются различные технические средства);

- рабочее место удаленного (легального) пользователя системы; рабочее место постороннего пользователя (потенциального злоумышленника);

- носители информации (магнитные, оптические и др.);

- печатающая и множительная техника;

- отдельные ПК и рабочие станции (терминалы);

- и наконец, непосредственно пользователи (обыкновенные люди).

Из множества компонентов ИС, для рассмотренных в данной работе выделим следующие объекты, которые в свою очередь могут быть разбиты на соответствующие составные элементы:

- локальная сеть;

- каналы и средства связи (КС);

- узлы коммутации;

- условный кабинет руководителя (либо любое другое помещение, где для обработки информации используются различные технические средства);

- рабочее место удаленного (легального) пользователя системы; рабочее место постороннего пользователя (потенциального злоумышленника);

- носители информации (магнитные, оптические и др.);

- печатающая и множительная техника;

- отдельные ПК и рабочие станции (терминалы);

- и наконец, непосредственно пользователи (обыкновенные люди).

Такую схему можно расширить, добавив другие устройства, например рабочее место специального назначения, каналы цифровой связи и т.п.

Основу технических средств ИС составляет обычно ЭВМ высокой производительности. Комплекс средств, сбора и выдачи информации выполняет функции связи и общения между ИС и внешней средой отдельными пользователями, технологическими процессами, другими ИС и т.д.

При значительном удалении абонентов ИС от вычислительных средств информация принимается и выдается по телефонным, телеграфным или широкополосным каналам связи. Комплекс сбора и выдачи информационно связан с внешними запоминающими устройствами ИС, управление которыми обычно осуществляется специализированной ЭВМ, распределяющей потоки данных и каналы памяти в соответствии с приоритетом источников заявок. Центральные процессоры выполняют обработку информации в ИС, а быстродействующая основная память обеспечивает хранение программ и данных решаемых задач.

Размещено на http://www.allbest.ru/

Рис.1Структурная схема ИС [20, с.44]

Связь и передачу информации в ИС обеспечивает устройство коммутации (коммутационный центр).

Определяющее значение для организации эффективного функционирования ИС имеет ее программное обеспечение.

Основными особенностями распределенных ИС являются:

- территориальная удаленность компонентов системы друг от друга и интенсивный обмен информацией между ними;

- широкий спектр используемых информационных технологий;

- интеграция данных различного назначения, принадлежащих разным субъектам, в рамках единых баз данных и, наоборот, размещение необходимых некоторым субъектам данных в удаленных узлах сети;

- абстрагирование пользователей и владельцев данных от физических структур и места размещения данных;

- использование режимов распределенной обработки данных;

- участие в процессе функционирования ИС большого количества пользователей и персонала;

- одновременный доступ к ресурсам ИС большого числа пользователей (субъектов) различных категорий;

- высокая степень разнородности используемых средств вычислительной техники и связи, а также их программного обеспечения;

- отсутствие специальной аппаратной поддержки средств защиты в большинстве типов технических средств, широко используемых в ИС [20, с.45].

В зависимости от форм и способов организации ИС можно выделить основные типовые компоненты, позволяющие описать любую ИС.

Можно выделить следующие типы рабочих мест:

- пользователя дисплейного (непрограммируемого) типа с визуальным отображением информации;

- пользователя (программируемый ПК), который может функционировать в режиме обмена информации с сопряженной ЭВМ и в автономном режиме;

- оператора, предназначенное для обслуживания серверов;

- программиста, предназначенное для отладки программы;

- администратора, предназначенное для управления и контроля за использованием каких-либо ресурсов ИС, например администраторы сети, базы данных, службы безопасности.

Связные компоненты:

- межсетевые мосты (шлюзы, центры коммутации пакетов, коммуникационные ЭВМ) элементы, обеспечивающие соединение нескольких сетей передачи данных, либо нескольких сегментов одной и той же сети, имеющих различные протоколы взаимодействия;

- каналы связи с узлами коммутации;

- аппаратура связи типа модем (модулятор-демодулятор), осуществляющая преобразование цифровых данных в электрические сигналы для передачи по линиям связи и обратное преобразование на приеме при обмене между удаленными друг от друга ЭВМ;

- аппаратура связи типа мультиплексор передачи данных (МПД), обеспечивающая сопряжение нескольких источников (например, нескольких ЭВМ) для передачи информации по одному каналу связи;

- каналы связи, выделенные и коммутируемые.

Вспомогательные элементы ИС:

- помещения, в которых размещены внешние запоминающие устройства больших ЭВМ;

- помещения, в которых размещены устройства предварительной подготовки данных;

- хранилище машинных носителей информации;

- хранилища документов на бумажных носителях;

- служебные помещения пользователей и персонала ИС.

С точки зрения защиты информации типовые компоненты ИС рассматриваются как объекты защиты.

В состав информационных систем могут входить ЭВМ различного функционального назначения:

- центральная ЭВМ, которая осуществляет основные процедуры обработки информации в ИС;

- сервер или Host машина - высокопроизводительная ЭВМ, предназначенная для реализации функций хранения, печати данных, обслуживания рабочих станций сети и т.п.;

- ЭВМ с функциями связной машины, шлюза, моста между сетевыми структурами [20, с.45-46].

1.2 Обработка информации в ИС

Обработка информации в ИС - любая совокупность операций (прием, сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств и технологий ИС.

Специфичным для ИС является понятие структуры, которое раскрывает схему связей (физическая структура или структурная схема) и взаимодействия между элементами (логическая структура или принципиальная схема). Остановимся поподробнее на этих понятиях для лучшего понимания принципа работы системы.

Физическая структура ИС - это схема связей таких физических элементов, как технологические, аппаратура узлов, собственно узлы и вычислительная техника, устанавливаемая в них. К основным компонентам физической структуры можно отнести узлы каналы и линии связи.

Логическая структура ИС определяет принципы установления связей, алгоритмы организации процессов и управления ими, логику функционирования программных средств. В общем виде она представляет собой соединение и взаимодействие двух принципиально различных по назначению и функциям составных частей архитектуры ИС: множества автономных информационных подсистем (узлов) и множества средств их связи и взаимодействия (физических средств и соединений). Обобщенная геометрическая модель физической структуры ИС определяет топологическую структуру ИС.

Более конкретный состав аппаратно-программных средств и схема их связей называются также конфигурацией ИС.

Под архитектурой ИС будем понимать согласованность всевозможных структур ИС. Так, при некоторой логической структуре, соответствующей принятой архитектуре ИС, может быть построено множество физических структур, влияющих на свойство и возможности системы. В свою очередь логическая структура ИС в достаточной мере определяет свойства ИС в целом.

Информационный узел - это техническая или организационно-техническая система определённой сложности, осуществляющая те или иные заданные процессы (например, обработка и накопление поступающей информации, распределение её по каналам связи для доставки конечному пользователю и т.п.).

Узлы, в которых в которых информация выходит за пределы системы или поступает в систему, называют конечными пунктами. Здесь устанавливаются технические средства называемые терминалами. Внутренние сетевые узлы - это обычно транзитные или в общем случае коммуникационные связные узлы. Соединение отдельных информационных узлов осуществляется с помощью различных каналов связи (проводных, беспроводных, комбинированных). Группы людей или отдельные лица, пользующиеся услугами ИС для получения нужной информации, ведения деловой переписки, управления организацией и т.п. называются пользователями.

Уровень развития ИС определяют особенности сетевой архитектуры. К таковым относятся:

- применяемые в ИС методы распределения информации и установления связей между взаимодействующими системами;

- виды предоставляемых услуг;

- способы управления процессами;

- наличие средств защиты и обеспечения целостности данных и сохранности ресурсов;

- возможность организации связи с другими сетями и осуществления межсетевых переходов;

- возможность модификации и расширения существующей ИС,

Известны два основных метода распределения информации коммутация и селекция.

Коммутация осуществляется тремя способами: коммутацией каналов, сообщений или пакетов.

Селекция основывается на выбранном методе доступа взаимодействующих систем к передающей физической среде связи, в которой одновременно распространяется множество сигналов, формируемых несколькими взаимодействующими терминальными системами.

Виды услуг, предоставляемых ИС:

- установление связи наиболее простой вид услуг, реализуемый средствами коммуникационной системы с помощью любого способа коммутации;

- передача данных. (Сеть оснащается аппаратурой и каналами передачи данных. Обеспечивает высокие скорости передачи и имеет лучшие качественные характеристики, чем коммуникационные системы других типов);

- телеобработка;

- передача файлов;

- доступ к распределенным базам данных и др.

Развитая архитектура ИС связана с наличием в ней сложной системы управления взаимодействующими процессами. Эта система обеспечивает необходимую эффективность функционирования ИС, управляет информационными потоками, предохраняет сеть от перегрузок, восстанавливает нормальные режимы функционирования в случаях возможных отклонений их от допустимых нормативных показателей системы.

Ресурсы ИС - это все компоненты ИС, ее аппаратное и программное обеспечение. Понятие ресурса может быть распространено и на другие компоненты ИС процедуры, протоколы, управляющие структуры и т.п. Следовательно, понятие ресурса определяется в широком смысле.

Пользователи ИС это в первую очередь определение лица, имеющие соответствующий доступ в систему и использующие ресурсы ИС. Кроме того, в понятие пользователь можно включать и процессы, выполняемые на различных ресурсах ИС. Понятно, что поведение такого пользователя существенно отличается от поведения человека, но есть и некоторое сходство, если считать их активными компонентами сети.

В зависимости от вида средств, методов и алгоритмов управления можно выделить ИС с централизованным и распределенным управлением. При этом могут выполняться как жесткие (фиксированные), так и гибкие (адаптивные) алгоритмы управления ИС, учитывающие многочисленные факторы.

Средства защиты и обеспечения целостности данных и сохранности ресурсов являются важным аспектом функционирования системы. Вопросы защиты информации и ресурсов в ИС будут

Объединение сетей осуществляется либо через общий узел, либо путем создания специальных каналов, соединяющих узлы одной системы с узлами другой. Если сеть может быть соединена с другими, то она называется открытой, если не может или не должна соединяться, то закрытой. Закрытость системы (или ее части) для некоторой категории пользователей является одним из способов защиты информационных и вычислительных ресурсов системы. По функционально-целевому и прикладному назначению существующие ИС можно разделить на две группы: общего пользования и специального назначения [20, с.39-41].

1.3 Проблемы, возникающие в процессе защиты ИС различных видов. Характеристики, влияющие на безопасность информации в ИС

Следует признать, что в качестве базового уровня ИС применяются обычные (бытовые) ПК, которые в последующем объединяют с помощью дополнительного оборудования в локальные и распределенные вычислительные сети.

С точки зрения защиты информации при таком подходе приходится тратить неоправданно большие средства на организацию защиты ценной информации, обрабатываемой с помощью дешевой техники. И поскольку в условиях, когда пользователи имеют доступ к нескольким серверам и базам данных и даже обладают правами удаленной регистрации, защита настолько усложняется, что ее создание становится не по карману даже мощным фирмам; однако в силу мнимой экономии денежных средств по такому пути идут как коммерческие, так и государственные организации.

Современная политика в области развития информационных технологий, делающая ставку на открытость систем, крайне затрудняет выполнение поставленной задачи.

По мнению многих специалистов, будущее систем защиты это централизованное управление и единственные «точки выхода» для пользователей. Сервер санкционирования или единый сервер паролей содержит не только БД паролей, но и правила ограничения прав и доступа. В таких централизованных системах администратор может управлять доступом и проверкой полномочий из одного пункта.

Таким образом, единственный способ обеспечить безопасность компьютерных сетей это заставить все средства защиты работать как единое целое. Такой подход позволит сотрудникам, отвечающим за защиту информации, сосредоточить все средства на одной рабочей станции, которую можно будет предоставлять для доступа под жестким контролем. Программа контроля должна содержать общий набор средств, для защиты распределенных ресурсов и одновременно позволять работать с прежней системой.

В ИС можно скрыто получить доступ к информационным архивам, которые концентрируются в одном месте в больших объемах. Кроме того, появилась возможность дистанционного получения информации через терминалы, расположенные в удалении от мест хранения данных. Поэтому для защиты информации требуются принципиально новые методы и средства, разработанные с учетом ценности информации, условий работы, технических и программных возможностей ИС и других средств, сбора, передачи и обработки данных. Особые мероприятия защиты необходимы, когда ресурсы ИС используются несколькими абонентами через терминалы в многопрограммном режиме и в режиме разделения времени. В этом случае возникает ряд правовых проблем, связанных с массивами информации, представляющих собой общественную и национальную ценность. Использование такой информации не по назначению наносит значительный ущерб как обществу в целом, какой либо организации, так и отдельной личности.

В ИС принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий сотрудников.

Степень защиты информации от неправомерного доступа и противозаконных действий зависит от качества разработки организационных мер, направленных на исключение:

- доступа к аппаратуре обработки информации;

- бесконтрольного выноса персоналом различных носителей информации;

- несанкционированного введения данных в память, изменения или стирания хранящейся в ней информации;

- незаконного пользования системами обработки информации и полученными данными;

- доступа в системы обработки информации посредством самодельных устройств;

- неправомочной передачи данных по каналам связи из информационно-вычислительного центра;

- бесконтрольный ввод данных в систему;

- обработка данных по заказу без соответствующего требования заказчика;

- неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Основными проблемами в процессе защиты информации в ИС является:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

- обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения. Некоторые проблемы защиты информации представлены на рис. 2 [20, с.47].

Размещено на http://www.allbest.ru/

Рис.2 Проблемы защиты информации [20, с.47]

Открытые системы клиент/сервер подкупают администраторов ИС исключительно простым доступом к корпоративной информации, но обескураживают сложностью решения задач защиты данных в связи с разнородностью вычислительных компонентов аппаратных платформ, операционных систем, СУБД и прикладного ПО.

Проблема не только в том, чтобы добиться согласованной работы средств защиты различных звеньев, но и упростить жизнь рядовых пользователей, дабы не заставлять их в поисках нужных данных продираться через множество заградительных кордонов.

Сторонники архитектуры клиент/сервер получили возможность исключительно простого доступа к корпоративным данным. Однако это осложнило проблему безопасности, что в полной мере почувствовали администраторы информационных систем на больших машинах. Для них понятия открытая система и безопасность казались вообще несовместимыми.

На серверах обеспечение безопасности данных всегда стояло на первом месте и проблемы защиты информации фактически были решены: имелись эффективные программы защиты и в каждом вычислительном центре, был специально выделенный персонал, который с помощью этих средств и поддерживал безопасность системы.

Пользователи локальных сетей вспоминали о существовании средств защиты редко в момент ввода сетевых паролей. При столь неразвитых инструментах защиты администраторы ЛС, естественно, не очень серьезно относились и к проблеме компьютерной защиты.

Когда закрытая хост-система интегрируется с локальными сетями и серверами баз данных, ее пользователи страдают не столько от недостатка средств защиты, сколько от их избытка и несовместимости. В дополнение к собственным средствам защиты для серверов появляются системы защиты мониторов транзакций, локальных сетей и серверов БД. Созданные разными производителями, как правило, они не приспособлены для кооперативной работы.

Таким образом, возникает необходимость синхронизировать работу средств безопасности всех платформ. При этом возникает фрагментация ответственности, когда для ухода за каждой платформой назначается отдельный администратор, а система в целом остается беззащитной.

Распределенная система имеет несколько точек входа, через которые осуществляется доступ к данным. Это могут быть файл-серверы локальной сети, рабочие станции и серверы БД. Чем больше в системе таких входов, тем острее проблема безопасности.

Уровень защиты всей системы определяется степенью защиты ее самого уязвимого звена, которым, как правило, являются включенные в сеть персональные компьютеры. Многие производители СУБД, стараясь облегчить жизнь конечных пользователей, перекладывают функции контроля доступа к данным на операционные системы. Возникающей лазейкой охотно пользуются хакеры, маскируясь под клиентов [20, с.48].

Рассматривая ИС как объект защиты, полезно обратить внимание на следующие характеристики:

- категории обрабатываемой в ИС информации, высший гриф секретности информации;

- общая структурная схема и состав ИС (перечень и состав оборудования, технических и программных средств, пользователей, данных и их связей, особенности конфигурации и архитектуры и т.п.);

- тип ИС (одно - либо многопользовательская система, открытая сеть, одно - либо многоуровневая система и т.п.);

- объемы основных информационных массивов и потоков, скорость обмена информацией и производительность системы при решении функциональных задач, продолжительность процедуры восстановления работоспособности после сбоев, наличие средств повышения надежности и живучести и т.п.;

- технические характеристики используемых каналов связи (пропускная способность, типы кабельных линий, виды связи с удаленными сегментами ИС и пользователями и т.п.);

- территориальное расположение компонентов ИС, их физические параметры и т.п.;

- наличие особых условий эксплуатации и др.

Большое число различных компонентов, операций, ресурсов и объектов ИС создает весьма привлекательную среду для различного рода вторжений и не санкционированных операций.

Необходимость защиты ресурсов, программ и информации в компьютерной информационной системе от несанкционированного доступа и использования определяется наличием следующих угроз:

- Оператор - может заменить защищенный монитор на незащищенный или имеющий только входы.

- Системный программист - нарушает защиту. Обеспечивает себе право входа в систему. Выявляет механизмы защиты.

- Программное обеспечение - попытки преодолеть защиту. Управление доступом. Идентификация пользователя. Управление ограничениями.

- Инженер по эксплуатации нарушает защиту технических средств. Использует автономные утилиты для доступа к файлам и входа в систему.

- Доступ. Попытки получить копию (пишущая лента, валик принтера и т.п.). Неточности, вызванные действиями пользователей с низким уровнем полномочий.

- Пользователь. Идентификация. Подтверждение подлинности. Искусная модификация программного обеспечения.

Рабочие станции наиболее доступные компоненты сетей и именно с них могут быть предприняты наиболее многочисленные попытки несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Именно поэтому рабочие станции должны быть надежно защищены от доступа посторонних лиц и содержать средства разграничения доступа к ресурсам со стороны законных пользователей, имеющих разные полномочия.

Серверы. Нуждаются в особой защите. Одни как концентраторы больших объемов информации, другие как элементы, в которых осуществляется преобразование данных при согласовании протоколов обмена в различных участках сети. Здесь злоумышленники, прежде всего, будут искать возможности повлиять на работу различных подсистем, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам и системным таблицам. При этом используются все возможности и средства, вплоть до специальных программных закладок для преодоления системы защиты, которые могут быть внедрены как с удаленных станций (посредством вирусов или иным способом), так и непосредственно в аппаратуру и программы серверов при их ремонте, обслуживании, модернизации, переходе на новые версии программного обеспечения, смене оборудования.

Каналы и средства связи. В силу большой пространственной протяженности линий связи через неконтролируемую территорию практически всегда имеется возможность подключения к ним, либо вмешательства в процесс передачи данных со стороны злоумышленников.

Ввод информации. Возможно случайное или преднамеренное нарушение целостности и истинности вводимой или хранящейся информации.

Обработка информации. Возможна утечка, нарушение целостности, истинности и сохранности информации. Перечисленные нарушения происходят в результате случайных или преднамеренных неправильных (неразрешенных) действий пользователя (санкционированного или несанкционированного для работы в данной ИС). Указанные нарушения могут возникать в результате воздействия компьютерных вирусов, занесенных в систему ее пользователями с непроверенным программным обеспечением;

Можно привести и другие угрозы, и другие каналы утечки информации, имеющие место в процессе функционирования ИС.

Абсолютной защиты быть не может. Распространено мнение, что установил защиту и можно ни о чем не беспокоиться. Использование постоянных, не развивающихся механизмов защиты опасно, и для этого есть несколько причин.

Защитные свойства систем безопасности во многом зависят от конфигурации сети и используемых в ней программ. Даже если не менять топологию сети, то все равно придется когда-нибудь использовать новые версии ранее установленных продуктов. Однако может случиться так, что новые возможности этого продукта пробьют брешь в защите.

Кроме того, не следует забывать о развитии и совершенствовании средств нападения. Техника так быстро меняется, что трудно определить, какое новое устройство или программное обеспечение, используемое для нападения, может обмануть вашу защиту. Современные интегрированные системы защиты осуществляют полный спектр управления всеми процессами, происходящими в структуре ИС [20, с.51-52].

2. Электронная цифровая подпись (ЭЦП) и ее применение для защиты информационной системы предприятия

2.1 Понятие электронной цифровой подписи и возможности ее применения

Для обеспечения устойчивого функционирования информационной системы любого предприятия в условиях воздействия внешних и внутренних угроз, при передаче, накоплении, хранении и обработке информации обеспечить сохранность последней от незаконного (несанкционированного) использования, хищения, искажения и уничтожения необходимо организовать и внедрить на предприятии комплекс мер по предотвращению доступа к информационной системе посторонних лиц (не допущенных к использованию системы по соображениям безопасности) по средствам использования СКУД (системы контроля и управления доступом), а также жесткого разделения лиц допущенных к работе с информационной системой по уровню допуска к соответствующей информации (каждый владеет информацией в размере необходимом для выполнения должностных инструкций).

Организовать такой доступ можно по средствам идентификации и аутентификции личности пользователя информационной системы.

Идентификация (identification) - это процесс распознания объекта или субъекта по его идентификатору.

Аутентификация (authentication) - это процедура верификации принадлежности идентификатора пользователю. Эта проверка позволяет определить, что пользователь является именно тем, кем себя объявляет. В случае успешного прохождения, аутентификации, идентификатор пользователя используется для предоставления этому пользователю определенного уровня доступа и полномочий при пользовании информационной системой [10, с.30].

В последнее время широкое распространение получили средства электронной идентификации. К технологиям, применяемым в мире автоматической идентификации, относятся:

- штрих-кодовая идентификация;

- биометрическая идентификация;

- радиочастотная идентификация;

- карточные технологии идентификации (на базе карт с магнитной полосой и смарт-карт) [10, с.33].

Надежное обеспечение информационной безопасности смарт-карт и средств радиочастотной идентификации возможно благодаря использованию в этих средствах криптографичесих методов защиты информации.

Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные сделав их бесполезными для незаконного использования. Такие преобразования обеспечивают решение двух главных проблем защиты данных: проблемы конфиденциальности (путем лишения противника возможности извлечь информацию из информационных ресурсов) и проблемы целостности (путем лишения противника возможности трансформировать сообщение так, чтобы изменился его смысл или ввести ложную информацию).

Криптография позволяет реализовать следующие механизмы защиты информации:

- шифрование данных, передаваемых по каналам связи или хранимым в памяти смарт-карты или компьютера;

- идентификацию и аутентификацию пользователя, смарт-карты или объекта системы (сети);

- контроль (разграничение) доступа к ресурсам системы (сети);

- управление криптографическими ключами;

- контроль целостности [10, с.407].

Используя возможности защиты циркулирующей в сети информации по средствам криптографии, и необходимости разграничения доступа к ней, а также идентификации пользователя этой информацией была создана электронная цифровая подпись.

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (Федеральный Закон «Об электронно-цифровой подписи»).

Функционально электронная цифровая подпись аналогична обычной рукописной подписи и обладает ее основными достоинствами:

- гарантирует целостность подписанного текста (документа);

- удостоверяет, что подписанный текст (документ) исходит от объекта поставившего подпись;

- не дает этому объекту возможности отказаться от обязательств, связанных с подписанием текста (документа).

Из чего следует, что электронно-цифровая подпись (ЭЦП) является полноправным заменителем подписи человека и печати организации. Начиная с этого момента, в Интернете стали появляться различного рода ресурсы, помогающие человеку быстро и просто, а главное, эффективно вести деловые отношения через глобальную сеть.

Электронную цифровую подпись (ЭЦП) можно применять для подтверждения своей личности и своих намерений при осуществлении:

- обмена документами электронного вида между организациями, ведомствами, предприятиями, а также между их подразделениями;

- предоставления отчетности физических и юридических лиц в органы контроля;

- декларирования деятельности, связанной с розничной продажей алкогольной продукции;

- передачи в электронном виде бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без необходимости дублирования на бумажном носителе;

- передачи данных в органы статистического учета и Пенсионный фонд России;

- участия в электронного вида аукционах и торгах по размещению государственных заказов;

- достоверной аутентификации пользователей;

- авторизации для получения доступа к специализированным ресурсам информации;

- шифрования электронных документов при передаче их по каналам связи открытого типа;