Системный подход к обеспечению безопасности
УРОК 20. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИ
ЛЕКЦИЯ Изучение нового материала Изучаемые вопросы: 1. Понятие защиты информации и основные задачи защиты информации. 2. Классификация информации, хранимой в электронном виде. 3. Системный подход к обеспечению безопасности. 4. Понятие аутентификации, авторизации, аудита 5. Технология защищенного канала.
Понятие защиты информации и основные задачи защиты информации В экономической и военных областях одной из основных проблем является защита информации. Объективными причинами, определяющими важность проблемы защиты информации являются: § Высокие темпы роста парка компьютеров, находящихся в эксплуатации; § Широкое применение компьютеров в самых разных сферах человеческой деятельности; § Высокая степень концентрации информации в компьютерах; § Совершенствование способов доступа пользователей к ресурсам компьютеров; § Усложнение вычислительного процесса в компьютерах. Учитывая эти факторы, защита информации в процессе ее сбора, хранения и обработки приобретает исключительное значение. Под защитой информации понимается совокупность мероприятий, методов и средств, обеспечивающих решение следующих основных задач: § проверки целостности информации; § исключения несанкционированного доступа к ресурсам компьютера и хранящимся в нем программам и данным; § исключения несанкционированного использования хранящихся в компьютере программ. Второе определение защиты: Защита — предотвращение или исключение: а) доступа к информации тем, кто не имеет соответствующего разрешения; б) непредумышленного (но недозволенного) или умышленного разрушения или изменения этой информации.
Секретность защищает как от непредумышленных, так и от умышленных попыток получения доступа к поддающейся разрушению информации, причем по-разному в зависимости от обстоятельств. Понятия безопасности, целостности и защиты взаимосвязаны. Безопасность — свойство системы, заключающееся в том, что она никогда ничего не сделает плохо. Определение того, что подразумевается под словом «плохо», зависит от назначения системы: например, требования безопасности для компьютеров управления летательным аппаратом будут, явно, жестче, чем требования к системе токарного станка с ЧПУ. Целостность — способность противостоять изменениям при системных ошибках. Пользователь, накапливающий информацию, вправе ожидать, что содержимое его файлов останется неизменным несмотря на отказы аппаратных и программных средств. Классификация информации хранимой в электронном виде 1.1. Информация, хранимая в электронном виде обычно имеет следующую классификацию: 1) По секретности: а) несекретная; б) служебная; в) гриф «Секретно»; г) гриф «Совершенно секретно»; д) гриф «Особой важности»; 2) По ценности: а) обычная; б) ценная информация; в) особо ценная информация. Безопасность КС часто описывается в категориях «достоверность», «конфиденциальность», «целостность» и «доступность». Свойство д остоверности понимается как сохранение информацией своих семантических свойств в любой момент времени от момента ввода в систему. Свойство доступности понимается как возможность пользования некоторым ресурсом КС и информацией в произвольный момент времени. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени от момента их порождения или ввода в систему. Свойство конфиденциальности понимается как недоступность информации или сервисов пользователей, которым априорно не задана возможность использования указанных сервисов или информации (данных). Иногда выделяют также свойство актуальности информации связанное со свойством доступности.
Системный подход к обеспечению безопасности Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом прежде всего необходимо осознать весь спектр возможных угроз для конкретной системы и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы — морально-этические и законодательные, административные и психологические, защитные возможности программных и аппаратных средств. К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому, как в борьбе против пиратского копирования программ в настоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяческих покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов. Законодательные средства защиты — это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушение этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью. Административные меры — это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности. К таким мерам относят конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам относят также правила приобретения предприятием средств безопасности. Представители администрации, которые несут ответственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.
Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью может привести к нарушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удаленных пользователей не исключено, что такой простой психологический прием может сработать. К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т.д. и т.п. Технические средства информационной безопасности реализуются программным и аппаратным обеспечением. Такие средства решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого трафика и много других задач. Технические средства безопасности могут либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|