Рефик. Защита информации в автоматизированных системах
 Скачать 29.98 Kb.
|
|
Федеральное государственное бюджетное образовательное учреждение инклюзивного высшего образования Московский государственный гуманитарно-экономический университет Калмыцкий филиал Реферат на тему: «Защита информации в автоматизированных системах» Выполнил: студент группы ОИ-1 Специальности 10.02.05. Обеспечение информационной безопасности автоматизированных систем» Мошкин Д.С. Научный руководитель: Вепрева О.Н. Элиста, 2019 г. СОДЕРЖАНИЕ Введение …………………………………………………………… ……… 3 Глава 1. Методы и средства защиты информации ………………….…… 5 Глава 2. Концепция защиты от несанкционированного доступа ………. 7 Заключение……………………………………………………………..…… 11 Список литературы…………………………………………………………. 12 ВВЕДЕНИЕ Существуют различные способы покушения на информационную безопасность: радиотехнические, акустические, программные и т.п. Среди них несанкционированный доступ выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средств вычислительной техники или автоматизированных систем. Защита автоматизированных систем должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Для защиты информации в автоматизированных системах обработки данных используются различные методы и средства защиты. Они включают в себя безопасность и целостность данных. Для определения средств защиты различают степени подготовленности нарушителей. Так же различают виды нарушений с позиции нарушителя. Это умышленные и неумышленные. В защите информации персонального компьютера от несанкционированного доступа можно выделить три основных направления: Первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя. Второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации. Третье направление связано с использованием специальных средств защиты информации персонального компьютера от несанкционированного доступа. В современных компьютерных системах используются криптографические системы защиты, которые предполагают защиту, аутентификацию (доказательство подлинности) и хранение информации. Выполнение процесса криптографического закрытия информации может быть аппаратным и программным. Для защиты информации в компьютерных системах используются различные методы. Такие как законодательные, организационные, технические, математические, программные, а так же морально-этические. Используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Наиболее распространены средства защиты вычислительных ресурсов, использующие парольную идентификацию, ограничивающие доступ несанкционированного пользователя, применение методов шифрования; средства защиты от копирования, компьютерных вирусов. Особенности защиты персонального компьютера обусловлены спецификой их использования. Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость в ограничении доступа к информации различных потребителей. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты. Защита автоматизированных систем должна предусматривать контроль эффективности средств защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем автоматизированных систем или контролирующими органами. Глава I. Методы и средства защиты информации Понятие «защита информации в вычислительных системах» предполагает проведение мероприятий в двух взаимосвязанных направлениях: безопасность данных и целостность данных. Безопасность данных связана с их защитой от намеренного разрушения, искажения или случайного доступа лиц, не имеющих на это право. Целостность – это гарантия их согласованности, правильности и полноты. Пользователи наделены правом общения с вычислительной системой, т.е. они авторизованные. Для определения средств защиты информации целесообразно различать степень подготовленности нарушителей. По степени подготовленности среди нарушителей могут быть малокомпетентные лица, профессиональный персонал, высококвалифицированный персонал. Степень подготовленности нарушителей обратно пропорциональна надежности и прямо пропорциональна сложности защиты информации. С позиции нарушителя безопасности и целостности виды нарушений соответственно подразделяются на умышленные и неумышленные. К умышленным относится хищение (уничтожение) носителей информации, подслушивание, несанкционированное копирование информации с помощью терминалов и др. Искажение целостности – результат случайных ошибок персонала, неверного исполнения программ и т.д. Для защиты информации в компьютерных системах применяются следующие методы: Законодательные; Организационные; Технические; Математические; Программные; Морально-этические. Организационные меры используются для защиты почти от всех известных нарушений безопасности и целостности вычислительных систем. Это организация наблюдения в вычислительной системе, проверка и подготовка персонала, контроль над изменениями в программном и математическом обеспечении, создание административной службы защиты, разработка нормативных положений о деятельности вычислительной системы. Организационные мероприятия дополняют защиту информации на этапах ее хранения и передачи. Технические используют различные технические средства. Назначение некоторых из них – удаление информации при попытке изъятия накопителя, похищении компьютера, проникновении в зону обслуживания компьютера (сервера) или при нажатии определенной кнопки. Принцип действия данных устройств – форматирование накопителя. Математические. В вычислительных системах следует использовать достаточно разнообразные шифры. Криптографические методы используются, как правило, при хранении и передаче информации. Программные. Используют различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Среди стандартных защитных средств персонального компьютера наиболее распространены: Средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя. Применение различных методов шифрования, не зависящих от контекста информации. Средства защиты от копирования коммерческих программных продуктов. Защита от компьютерных вирусов и создание архивов. Морально-этические. Считается, что и этические кодексы оказывают положительное воздействие на персонал. В организациях приняты и вывешены на видных местах этические кодексы. Глава II. Концепция защиты от несанкционированного доступа Идейной основой набора руководящих документов является "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации". Концепция "излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. В Концепции различаются понятия средств вычислительной техники (СВТ) и автоматизированной системы (АС), аналогично тому, как в Европейских Критериях проводится деление на продукты и системы. Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от несанкционированного доступа. Это – направление, связанное со средствами вычислительной техники, и направление, связанное с автоматизированными системами. Отличие двух направлений порождено тем, что средства вычислительной техники разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные автоматизированные системы, и поэтому, не решая прикладных задач, средства вычислительной техники не содержат пользовательской информации. Помимо пользовательской информации при создании автоматизированных систем появляются такие отсутствующие при разработке средств вычислительной техники характеристики автоматизированных систем, как полномочия пользователей, модель нарушителя, технология обработки информации. Существуют различные способы покушения на информационную безопасность – радиотехнические, акустические, программные и т.п. Среди них несанкционированный доступ выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средств вычислительной техники или автоматизированных систем. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем. В Концепции формулируются следующие основные принципы защиты от несанкционированного доступа к информации: Защита средств вычислительной техники обеспечивается комплексом программно-технических средств. Защита автоматизированных систем обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. Защита автоматизированных систем должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики автоматизированных систем (надежность, быстродействие, возможность изменения конфигурации автоматизированных систем). Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты. Защита автоматизированных систем должна предусматривать контроль эффективности средств защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем автоматизированных систем или контролирующими органами. Концепция ориентируется на физически защищенную среду, проникновение в которую посторонних лиц считается невозможным, поэтому нарушитель определяется как субъект, имеющий доступ к работе со штатными средствами автоматизированных систем и средствами вычислительной техники как части автоматизированных систем. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами автоматизированных систем и средствами вычислительной техники. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. Первый уровень определяет самый низкий уровень возможностей ведения диалога в автоматизированных системах – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации. Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. Третий уровень определяется возможностью управления функционированием автоматизированных систем, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию её оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств автоматизированных систем, вплоть до включения в состав средств вычислительной техники, собственных технических средств с новыми функциями по обработке информации. В своем уровне нарушитель является специалистом высшей квалификации, знает все об автоматизированных системах и, в частности, о системе и средствах ее защиты. В качестве главного средства защиты от несанкционированного доступа к информации в Концепции рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями системы разграничения доступа являются: реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным; реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий; изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов; управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа; реализация правил обмена данными между субъектами для автоматизированных систем и средств вычислительной техники, построенных по сетевым принципам. Кроме того, Концепция предусматривает наличие обеспечивающих средств для системы разграничения доступа, которые выполняют следующие функции: идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта; регистрацию действий субъекта и его процесса; предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; реакцию на попытки несанкционированного доступа, например, сигнализацию, блокировку, восстановление после несанкционированного доступа; тестирование; очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными; учет выходных печатных и графических форм и твердых копий в автоматизированной системе; контроль целостности программной и информационной части как системы разграничения доступа, так и обеспечивающих ее средств. Заключение В мире произошло переосмысление подходов к решению проблемы обеспечения информационной безопасности. С момента принятия международного стандарта ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности. Одновременно с трансформацией взглядов на процессы обработки происходит и изменение взглядов на подходы к обеспечению безопасности информации. Широкая сфера применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности перестала удовлетворять как потребителя ИТ-систем, так и их разработчика. Следуя по пути интеграции, Европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC). Версия 1.2 этих Критериев опубликована в июне 1991 года от имени соответствующих органов четырех стран – Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех – и для производителей, и для потребителей, и для самих органов сертификации. Европейские Критерии рассматривают такие составляющие информационной безопасности как конфиденциальность, целостность и доступность. Список используемой литературы 1. В.Е. Ходаков, Н.В. Пилипенко, Н.А. Соколова / Под ред. В.Е. Ходакова. Введение в компьютерные науки: Учеб. пособ. – Херсон: Издательство ХГТУ – 2004. 2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. – М.: Энергоиздат, 1994. 3. Мельников В.В. «Защита информации в компьютерных системах». – М.: «Финансы и статистика», 1997. |