Развитие систем защиты информации. Развитие систем защиты информации реферат


Пример: Реферат Развитие систем защиты информации

Реферат, Развитие систем защиты информации

ВУЗ, город:

СибГИУ

Предмет: Информатика

Реферат по теме:

Развитие систем защиты информации

Страниц: 15

Автор: John

2009 год

Содержание

Введение 3

Глава 1 Защита информации — составляющая информационной безопасности 4

1.1 Краткая история развития информационной безопасности 4

1.2 Общие тенденции и прогнозы развития систем защиты 6

Глава 2 Развитие систем и средств информационной защиты 9

2.1 Развитие систем антивирусной защиты 9

2.2 Развитие систем технической защиты информации 11

Заключение 14

Список литературы 15

Выдержка

Выделяется главная тенденция: развитие систем защиты информации будет идти по двум различным, но взаимодополняющим направлениям, а именно:

— стандартные компьютеры всё более и более будут впитывать в себя лучшие достижения в области аппаратной защиты, при этом дополнительно к новому уровню стандартности будут необходимы лишь средства идентифи-кации/аутентификации, которые будут активными;

— в областях, где требуется высокий уровень защищённости, будут ис-пользоваться новые специально спроектированные технические средства. Средства защиты будут всё более и более приобретать черты полноценных компьютеров. Они будут содержать все стандартные для компьютеров со-ставляющие, и при этом сохранять специализацию за счёт ОС реального вре-мени и аппаратных спецканалов. В первую очередь появятся специализиро-ванные терминалы. 

Базовая характеристика большинства подходов к технической защите информации — это надёжность. При сравнении надёжности защиты тем или иным комплексом технических средств, зачастую делается их выбор.

Список использованной литературы

1. Конявский В.А., Лопаткин С.В. Компьютерная преступность. В 2-х то-мах. Т.1. — М.: РФК-Имидж Лаб, 2006. 560 с.

2. Корнеев И.Р. Информационная безопасность предприятия. — СПб.: БХВ-Петербург, 2003. 752 с.

3. Мельников В.П. Информационная безопасность и защита информации. / Мельников В.П., Клейменов С.А... Петраков А.М. — М.: Академия, 2006. 336 с.

4. Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. 384 с

5. Хорев П.Б. Методы и средства защиты информации в компьютерных системах: Учебное пособие. — М.: Академия, 2005. 256 с.

6. Конявский В. А. Развитие средств технической защиты информации (Комплексная защита информации. Сборник материалов XII Междуна-родной конференции (13-16 мая 2008 г., Ярославль (Россия)). — М.: 2008. С. 109-113.

7. Мякишев А. Безопасность сегодня — не только ИТ-проблема. // Мир связи. Connect! 2006. № 10.

Книги для самоподготовки по теме "Развитие систем защиты информации" - Реферат

Информационное право

Информационное право

2013

ISBN 5392004113,9785392004119

Комментарий к Федеральному закону «Об информации, информационных технологиях и о защите информации»

Комментарий к Федеральному закону «Об информации, информационных технологиях и о защите информации»

ISBN 546600670X,9785466006704

Экономика защиты информации

Экономика защиты информации

МГИУ , 2013

ISBN 5276012695,9785276012698

Закон и средства массовой информации

Закон и средства массовой информации

ОЛМА Медиа Групп , 2013

ISBN 5765438725,9785765438725

Сборник трудовых договоров

Сборник трудовых договоров

Prospekt.org , 2013

ISBN 5482018903,9785482018903

Вычислительные системы, сети и телекоммуникации

Вычислительные системы, сети и телекоммуникации

Издательский дом "Питер" , 2012

ISBN 5498078757,9785498078755

Учебник предназначен для студентов вузов, обучающихся по специальностям "Прикладная информатика" и...

Статьи по теме для самостоятельной работы

Остановить шоплифтеров - Российская Газета
Остановить шоплифтеров - Российская Газета

В Ростовской области Аксайский суд принял решение заблокировать доступ к сайту шоплифтеров (от слова шоплифтинг - хищение товара в магазине розничной торговли). В Волгоградской области аналогичный иск инициировал прокурор Красногвардейского района города-героя. - Когда правонарушения несовершеннолетних стали разбираться на заседаниях комиссии, мы поняли, что все чаще юнцов ловят за руку в... далее

Как обезопасить себя в Сети? Полезные советы ко Дню безопасного интернета - securitylab
Как обезопасить себя в Сети? Полезные советы ко Дню безопасного интернета - securitylab

Как известно, наверное, читателям, с легкой руки Еврокомиссии у нас появился еще один праздник – День безопасного Интернета (Safer Internet Day) — праздник, отмечаемый в первый вторник февраля. Откровенно говоря, я не понимаю, как можно отмечать день того, чего нет, но оставим это на совести Еврокомиссии. Ведь будем откровенны хотя бы перед собой – безопасный интернет более всего похож на... далее

В Госдуме обсудят экономический рост в России - Известия
В Госдуме обсудят экономический рост в России - Известия

Депутаты Госдумы совместно с правительством, Центробанком, представителями бизнеса и общественными деятелями намерены обсудить тему экономического возрождения России. 12 февраля в Государственной думе пройдут парламентские слушания «О первоочередных мерах Федерального собрания Российской Федерации, правительства Российской Федерации и Банка России по обеспечению экономического роста». Среди... далее

Хроники развития Интернета: как Герман Клименко стал советником Президента - Информационный портал ICT-Online
Хроники развития Интернета: как Герман Клименко стал советником Президента - Информационный портал ICT-Online

В январе 2016 года увидели свет 16 поручений Владимира Путина, касающиеся развития российского Интернета и технологий сопутствующих отраслей. Эти поручения появились по итогам работы Института Развития Интернета (ИРИ), глава которого, Герман Клименко, стал советником Президента. Рождение Института Развития Интернета ИРИ был создан в конце 2014 г известным интернет-деятелем Германом Клименко... далее

nadfl.ru

Развитие систем защиты информации, Информатика

Реферат по предмету: Информатика (Пример)

Введение

Глава 1 Защита информации — составляющая информационной безопасности

1.1 Краткая история развития информационной безопасности

1.2 Общие тенденции и прогнозы развития систем защиты

Глава 2 Развитие систем и средств информационной защиты

2.1 Развитие систем антивирусной защиты

2.2 Развитие систем технической защиты информации

Заключение

Список литературы

Содержание

Выдержка из текста

При этом практически полностью утрачена возможность применения их в специализированных приложениях — при необходимости обеспечения работы в реальном масштабе времени.

Как известно, архитектура современных компьютеров — это архитектура фон Неймановского типа. С этим связана принципиальная невозможность защиты таких компьютеров только программными средствами — ведь управляет аппаратными средствами тот компонент, который первым получил управление. И если этим первым оказалась вредоносная программа, то избавиться от неё невозможно. Здесь необходимо подойти к понятию аппаратного модуля безопасности — HSM (Hardware Security Module).

Как правило, это отдельный компьютер, начинённый различным программным обеспечением, выполняющим функции, связанные с безопасностью. Обычно это межсетевой экран, криптомаршрутизатор, сервер ЭЦП и др. С функциональной компьютерной системой HSM интегрируется обычно через сетевые интерфейсы, и в связи с этим значительно упрощается аттестация системы.

В использовании HSM, однако, есть и проблемы. В первую очередь — это их ненадёжность.

Вытекающей отсюда идеей является резидентный компонент безопасности — РКБ. В отличие от HSM, РКБ не объединяется с системой по внешним интерфейсам, а включается в состав системы (является резидентным), становится неотъемлемой её частью. В дальнейшем идеология РКБ была воспринята многими мировыми производителями систем безопасности, и даже была стандартизована на Западе как специализированный модуль для доверенных вычислений — TPM (Trusted Platform Module).

Представляется, что в дальнейшем системы на базе идеологии РКБ-TPM будут развиваться особенно эффективно.

Вторую молодость сейчас переживают терминальные решения. Суть терминальной сессии осталась прежней: хранение и обработка данных происходит на сервере, к пользователю передаются изменения изображения на экране, от пользователя на сервер передаются нажатия клавиш и манипуляции с мышью. Однако в процессе эволюции и терминальные серверы, и терминалы значительно изменились. Раньше типичный терминал представлял собой только монитор, клавиатуру и блок соединения с сервером. Сегодня же терминальная функция — это только одна из задач. Пользователю предоставляется не терминал, а ресурсы тонкого клиента, которые могут обладать собственной операционной системой, собственным жёстким диском, собственной периферией (дисководом, портами ввода/вывода, USB-разъёмами) их уже нельзя представить как просто удалённые от терминального сервера монитор, клавиатуру и мышь.

Таким образом, следует ожидать появления защищённых терминалов с одной стороны, и средств для защиты терминальных решений — с другой.

Среди ближайших перспектив — средства создания персональной защищённой среды. В это же время будут активно развиваться технологии HSM, со временем всё более приближаясь к серверным решениям. Скорее всего, наиболее активно будут развиваться аппаратные решения на базе ОС реального времени и специализированных микропроцессоров.

Чуть далее по времени, но всё же недалеко — создание защищённых терминалов. На первом этапе наиболее эффективными обещают быть аппаратно-программные решения. Далее на очереди — создание резидентных средств сетевой защиты. Это будут средства, в которых за счёт собственных ресурсов будут исполняться процедуры антивирусной защиты, межсетевого экранирования, браузера и др.

Заключение

В заключение можно сделать следующие выводы. Выделяется главная тенденция: развитие систем защиты информации будет идти по двум различным, но взаимодополняющим направлениям, а именно:

Средства защиты будут всё более и более приобретать черты полноценных компьютеров. Они будут содержать все стандартные для компьютеров составляющие, и при этом сохранять специализацию за счёт ОС реального времени и аппаратных спецканалов. В первую очередь появятся специализированные терминалы.

Базовая характеристика большинства подходов к технической защите информации — это надёжность. При сравнении надёжности защиты тем или иным комплексом технических средств, зачастую делается их выбор.

Развитие систем антивирусной защиты будет идти по пути совершенствования уже используемых механизмов.

Обеспечение информационной безопасности — это прежде всего процесс управления. О том, что подобный подход является наиболее эффективным, свидетельствуют активные усилия в данном направлении ведущих производителей — IBM, Microsoft, SAP, а также компаний Symantec, ISS, Computer Associates и других.

Список литературы

Конявский В.А., Лопаткин С.В. Компьютерная преступность. В 2-х томах. Т.1. — М.: РФК-Имидж Лаб, 2006. 560 с.

Корнеев И.Р. Информационная безопасность предприятия. — СПб.: БХВ-Петербург, 2003. 752 с.

Мельников В.П. Информационная безопасность и защита информации. / Мельников В.П., Клейменов С.А. Петраков А.М. — М.: Академия, 2006. 336 с.

Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. 384 с

Хорев П.Б. Методы и средства защиты информации в компьютерных системах: Учебное пособие. — М.: Академия, 2005. 256 с.

Конявский В. А. Развитие средств технической защиты информации (Комплексная защита информации. Сборник материалов XII Международной конференции (13−16 мая 2008 г., Ярославль (Россия)).

 — М.: 2008. С. 109−113.

Мякишев А. Безопасность сегодня — не только ИТ-проблема. // Мир связи. Connect! 2006. № 10.

Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. 384 с.

Мякишев А. Безопасность сегодня — не только ИТ-проблема. // Мир связи. Connect! 2006. № 10.

Хорев П.Б. Методы и средства защиты информации в компьютерных системах: Учебное пособие. — М.: Академия, 2005. 256 с.

Корнеев И.Р. Информационная безопасность предприятия. — СПб.: БХВ-Петербург, 2003. 752 с.

Конявский В.А., Лопаткин С.В. Компьютерная преступность. В 2-х томах. Т.1. — М.: РФК-Имидж Лаб, 2006. 560 с.

Мельников В.П. Информационная безопасность и защита информации. / Мельников В.П., Клейменов С.А. Петраков А.М. — М.: Академия, 2006. 336 с.

Конявский В. А. Развитие средств технической защиты информации (Комплексная защита информации. Сборник материалов XII Международной конференции (13−16 мая 2008 г., Ярославль (Россия)).

 — М.: 2008. С. 109−113.

Конявский В.А., Лопаткин С.В. Указ. соч.

2

Список источников информации

1.Конявский В.А., Лопаткин С.В. Компьютерная преступность. В 2-х то-мах. Т.1. — М.: РФК-Имидж Лаб, 2006. 560 с.

2.Корнеев И.Р. Информационная безопасность предприятия. — СПб.: БХВ-Петербург, 2003. 752 с.

3.Мельников В.П. Информационная безопасность и защита информации. / Мельников В.П., Клейменов С.А. Петраков А.М. — М.: Академия, 2006. 336 с.

4.Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. 384 с

5.Хорев П.Б. Методы и средства защиты информации в компьютерных системах: Учебное пособие. — М.: Академия, 2005. 256 с.

6.Конявский В. А. Развитие средств технической защиты информации (Комплексная защита информации. Сборник материалов XII Междуна-родной конференции (13−16 мая 2008 г., Ярославль (Россия)).

 — М.: 2008. С. 109−113.

7.Мякишев А. Безопасность сегодня — не только ИТ-проблема. // Мир связи. Connect! 2006. № 10.

список литературы

referatbooks.ru

Реферат - Принципы построения системы защиты информации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

МЕЖДУНАРОДНЫЙ ИНСТИТУТ ФИНАНСОВ, УПРАВЛЕНИЯ И БИЗНЕСА

КАФЕДРА МЕНЕДЖМЕНТА

РЕФЕРАТ

по дисциплине: «Информационная безопасность»

на тему: «Принципы построения системы защиты информации»

Студентки 2 курса

специальности МО,

25М802 гр.

____ Зайцевой А.С.

Проверил:

_____ ..

Тюмень – 2010

Принципы построения систем защиты информации .

1.Понятия защиты 2.Системность подхода 3.Основные трудности 4.Основные правила 5.Защищённая ИС и система защиты информации 6.Как обеспечить сохранность информации?

Вопросы организации защиты информации должны решаться уже на стадии предпроектной разработки ИС. Опыт проектирования систем защиты еще не достаточен. Однако уже можно сделать некоторые обобщения. Погрешности защиты могут быть в значительной мере устранены, если при проектировании учитывать следующие основные принципы построения системы защиты: Простота механизма защиты. Этот принцип общеизвестен, но не всегда глубоко осознается. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением трудоемких действий при обычной работе законных пользователей. Постоянство защиты. Надежный механизм, реализующий это требование, должен быть постоянно защищен от несанкционированных изменений. Ни одна компьютерная система не может рассматриваться как безопасная, если основные аппаратные и программные механизмы, призванные обеспечивать безопасность, сами являются объектами несанкционированной модификации или видоизменения. Всеобъемлющий контроль. Этот принцип предполагает необходимость проверки полномочий любого об ращения к любому объекту и лежит в основе системы защиты. Не секретность проектирования. Механизм защиты должен функционировать достаточно эффективно даже в том случае, если его структура и содержание известны злоумышленнику. Не имеет смысла засекречивать детали реализации системы защиты, предназначенной для широкого использования. Эффективность защиты не должна зависеть от того, насколько опытны потенциальные нарушители. Защита не должна обеспечиваться только секретностью структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно способствовать ее преодолению (даже автору). Идентификация. Каждый объект ИС должен однозначно идентифицироваться. При попытке получения доступа к информации решение о санкционировании его следует принимать на основании данных претендента и определения высшей степени секретности ин формации, с которой ему разрешается работать. Такие данные об идентификации и полномочиях должны надежно сохраняться и обновляться компьютерной системой для каждого активного участника системы, выполняющего действия, затрагивающие ее безопасность. Пользователи должны иметь соответствующие полномочия, объекты (файлы) — соответствующий гриф, а система должна контролировать все попытки получения доступа. Разделение полномочий. Применение нескольких ключей защиты. Это удобно в тех случаях, когда право на доступ определяется выполнением ряда условий. Минимальные полномочия. Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для работы. Надежность. Система ЗИ должна иметь механизм, который позволил бы оценить обеспечение достаточной надежности функционирования СЗИ (соблюдение правил безопасности, секретности, идентификации и отчетности). Для этого необходимы выверенные и унифицированные аппаратные и программные средства контроля. Целью применения данных механизмов является выполнение определенных задач методом, обеспечивающим безопасность. Максимальная обособленность механизма защиты означает, что защита должна быть отделена от функций управления данными. Защита памяти. Пакет программ, реализующих защиту, должен размещаться в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Даже попытка проникновения со стороны программ операционной системы должна автоматически фиксироваться, документироваться и отвергаться, если вызов выполнен некорректно. Удобство для пользователей: схема защиты должна быть в реализации простой, чтобы механизм защиты не создавал для пользователей дополнительных трудностей. Контроль доступа на основании авторизации пользователя по его физическому ключу и личному PIN-коду. Это обеспечивает защиту от атак неавторизованных пользователей на доступ:

— к ресурсам ПК;

— к областям HD ПК;

— к ресурсам и серверам сети;

— к модулям выполнения авторизации пользователей.

Авторизация пользователя на основании физического ключа позволяет исключить непреднамеренную дискредитацию его прав доступа. Отчетность. Необходимо защищать контрольные данные от модификации и несанкционированного уничтожения, чтобы обеспечить обнаружение и расследование выявленных фактов нарушения безопасности. Надежная система должна сохранять сведения о всех событиях, имеющих отношение к безопасности, в контрольных журналах. Кроме того, она должна гарантировать выбор интересующих событий при проведении аудита, чтобы минимизировать стоимость аудита и повысить эффективность анализа. Наличие программных средств аудита или создание отчетов еще не означает ни усиления безопасности, ни наличия гарантий обнаружения нарушений. Доступность к исполнению только тех команд операционной системы, которые не могут повредить операционную среду и результат контроля предыдущей аутентификации. Наличие механизмов защиты от:

— несанкционированного чтения информации;

— модификации хранящейся и циркулирующей в сети информации;

— навязывания информации;

— несанкционированного отказа от авторства переданной информации.

Системный подход к защите информации предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для обеспечения безопасности ИС. Возможность наращивания защиты. Система зашиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. Комплексный подход предполагает согласованное применение разнородных средств защиты информации. Адекватность — обеспечение необходимого уровня защиты при минимальных издержках на создание механизма защиты и обеспечение его функционирования. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и масштаб возможного ущерба были бы приемлемыми (задача анализа риска). Минимизация привилегий в доступе, предоставляемых пользователям, т.е. каждому пользователю должны предоставляться только действительно необходимые ему права по обращению к ресурсам системы и данным. Полнота контроля — обязательный контроль всех обращений к защищаемым данным. Наказуемость нарушений. Наиболее распространенная мера наказания — отказ в доступе к системе. Экономичность механизма — обеспечение минимальности расходов на создание и эксплуатацию механизма. Принцип системности сводится к тому, что для обеспечения надежной защиты информации в современных ИС должна быть обеспечена надежная и согласованная защита во всех структурных элементах, на всех технологических участках автоматизированной обработки информации и во все время функционирования ИС. Специализация, как принцип организации защиты, предполагает, что надежный механизм защиты может быть спроектирован и организован лишь профессиональными специалистами по защите информации. Кроме того, для обеспечения эффективного функционирования механизма защиты в состав ИС должны быть включены соответствующие специалисты. Принцип неформальности означает, что методология проектирования механизма защиты и обеспечения его функционирования — неформальна. В настоящее время не существует инженерной (в традиционном понимании этого термина) методики проектирования механизма защиты. Методики проектирования, разработанные к настоящему времени, со держат комплексы требований, правил, последовательность и содержание этапов, которые сформулированы на неформальном уровне, т.е. механическое их осуществление в общем случае невозможно. Гибкость системы защиты. Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрез мерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Принцип непрерывности защиты предполагает, что защита информации — это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС. Разработка системы защиты должна осуществляться параллельно с разработкой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные защищенные информационные системы. 1. Понятия защиты. На формулирование понятия защиты оказывает влияние большое количество разноплановых факторов, основными из которых выступают: влияние информации на эффективность принимаемых решений; -концепции построения и использования защищенных информационных систем; -техническая оснащенность информационных систем; -характеристики информационных систем и их компонентов с точки зрения угроз сохранности информации; -потенциальные возможности злоумышленного воз действия на информацию, ее получение и использование; -наличие методов и средств защиты информации. Развитие подходов к защите информации происходит под воздействием перечисленных факторов, при этом можно условно выделить три периода развития СЗИ:первый — относится к тому времени, когда обработка информации осуществлялась по традиционным (ручным, бумажным) технологиям;второй — когда для обработки информации на регулярной основе применялись средства электронно-вычислительной техники первых поколений;третий — когда использование ИТ приняло массовый и повсеместный характер.2.Системность подхода Генеральным направлением поиска путей защиты ин формации является неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось прежде все го в том смысле, что защита информации заключается не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла систем обработки данных при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для защиты ин формации, непременно и наиболее рационально объединяются в единый целостный механизм — систему защиты, которая должна обеспечивать, говоря военным языком, глубокоэшелонированную оборону, причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала. В этой системе должно быть, по крайней мере, четыре защитных пояса: внешний, охватывающий всю территорию, на которой расположены сооружения; пояс сооружений, помещений или устройств системы; пояс компонентов системы (технических средств, программного обеспечения, элементов баз данных) и пояс технологических процессов обработки данных (ввод/ вывод, внутренняя обработка и т.п.).3.Трудности реализации СЗИ Основные трудности реализации систем защиты состоят в том, что они должны удовлетворять двум группам противоречивых требований. С одной стороны, должна быть обеспечена надежная защита находящейся в системе информации, что в более конкретном выражении формулируется в виде двух обобщенных задач: исключение случайной и преднамеренной выдачи ин формации посторонним лицам и разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала. С другой стороны, системы защиты не должны создавать заметных неудобств в процессе работы с использованием ресурсов системы. В частности должны быть гарантированы: -полная свобода доступа каждого пользователя и независимость его работы в пределах предоставленных ему прав и полномочий; -удобство работы с информацией для групп взаимосвязанных пользователей; -возможности пользователям допускать друг друга к своей информации. 4.Основные правила защиты Основные правила, которыми рекомендуют руководствоваться специалисты при организации работ по за щите информации, сводятся к следующему: Обеспечение безопасности информации есть непрерывный процесс, состоящий в систематическом контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты. Безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты. Никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты. Никакую систему защиты нельзя считать абсолютно надежной, следует исходить из того, что может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации. С самых первых этапов, т.е. с той поры, когда проблема защиты информации в системах обработки данных стала рассматриваться как самостоятельная, основными средствами, используемыми для защиты, были технические и программные. Техническими названы такие средства, которые реализуются в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными средствами защиты понимают устройства, внедряемые непосредственно в аппаратуру обработки данных, или устройства, которые сопрягаются с ней по стандартному интерфейсу. Наиболее известные аппаратные средства, используемые на первом этапе — это схемы контроля ин формации по четности, схемы защиты полей памяти по ключу, специальные регистры (например; регистры границ поля ЗУ) и т.п. Физическими средствами названы такие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, ре­шетки на окнах и т.п.). Программные средства защиты, как известно, об разуют программы специально предназначенные для выполнения функций, связанных с защитой информации. Первоначально программные механизмы защиты включались в состав операционных систем или систем управления базами данных. Этим, видимо, и объясняется, что практически все без исключения операционные системы содержат механизмы защиты информации от несанкционированного доступа, а именно: -динамическое распределение ресурсов вычисли тельной системы и запрещение задачам пользователей использовать чужие ресурсы; -разграничение доступа пользователей к ресурсам системы по паролям; -разграничение доступа к полям оперативной и долговременной памяти по ключам защиты; -защита таблицы паролей с помощью так называемого главного пароля. 5.Защищенная ИС и система защиты информации. Многие специалисты считают, что точный ответ на вопрос, что же такое «защищенная информационная система», пока не найден. Существуют следующие представления защищенности ИС: -это совокупность средств и технологических приемов, обеспечивающих защиту компонентов ИС; -это минимизация риска, которому могут быть подвергнуты компоненты и ресурсы ИС; -это комплекс процедурных, логических и физических мер, направленных на предотвращение угроз информации и компонентам ИС. Для упрощения подачи материала предлагается следующее определение защит щенной ИС. Защищенной будем называть ИС, в которой реализованы механизмы выполнения правил, удовлетворяющих установленному на основе анализа угроз перечню требований по защите информации и компонентов этой ИС. При этом механизмы выполнения указанных правил чаще всего реализуются в виде системы защиты информации. Следовательно, под СЗИ будем понимать совокупность механизмов защиты, реализующих установленные правила, удовлетворяющие указанным требованиям. Таким образом, список угроз информации определяет основу для формирования требований к защите. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты, объединенные в комплексную СЗИ. Можно утверждать, что чем полнее будет список требований к защите и соответствующих правил защиты, тем эффективнее будет СЗИ для данной ИС. Для того чтобы построить защищенную ИС, целесообразно провести анализ угроз информации, составить перечень требований к защите, сформулировать правила организации непосредственной защиты и реализовать их выполнение путем создания комплексной СЗИ, которая представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту важной информации от всех выявленных угроз и возможных каналов утечки.6. Как обеспечить сохранность информации? . Как же обеспечить сохранность своей информации? Ведь многообразие вариантов построения информационных систем порождает необходимость создания раз личных систем защиты, учитывающих индивидуальные особенности каждой из них. Вместе с тем, в настоящее время разработано и применяется большое количество технологий, способов и средств защиты информации, которые необходимо проанализировать и использовать в информационных системах уже сегодня. Это позволит резко сократить утечку сведений конфиденциального характера. Руководителям следует помнить, что закон Мерфи актуален и для проблем защиты информации. Напомним его содержание: Если какая-нибудь неприятность может случиться, она случается. Следствия. Все не так легко, как кажется. Всякая работа требует больше времени, чем вы думаете. Из всех неприятностей произойдет именно та ущерб, от которой больше. Если четыре причины возможных неприятностей заранее устранены, то всегда найдется пятая Предоставленные самим себе, события имеют тенденцию развиваться от плохого к худшему Как только вы принимаетесь делать какую-то работу, находится другая, которую надо сделать еще раньше Всякое решение плодит новые проблемы Приступая к работе по созданию защищенной ИС, желательно в собственном представлении создать об раз Вашей ИС в любом удобном для простого понимания виде. Попробуйте включить фантазию в этот процесс. Для примера: работу нескольких пользователей на одном ПК (как это часто бывает) можно сравнить с банком или кассой, когда все стараются взять как можно больше, а вернуть как можно меньше. При этом соратники-пользователи объединены общей идеей, но пре следуют разные цели. Возникающая в таких случаях неразбериха может привести к серьезным конфликтам. Если в такой ситуации не будут приняты соответствующие меры по разграничению доступа и полномочий, то в лучшем случае у Вас может оказаться список телефонов чьих-то любовниц, а в худшем — потеряете всю информацию, что нажито непосильным трудом. Прежде чем начать разговор о возможных путях организации зашиты информации (ЗИ), необходимо определиться, имеется ли у Вас информация, которую нельзя не защищать; это важно, поскольку, как правило, ЗИ потребует дополнительных средств и достаточно больших. СЗИ — довольно дорогостоящее удовольствие (а чаще необходимость). И если после долгих колебаний и споров решено, что в ИС имеет место информация, которую необходимо защищать, не расстраивайтесь. Смело идите вперед. Далее необходимо определить конкретные сведения, подлежащие защите, для чего и от кого их защищать, а так же степень надежности такой защиты — проделать это не сложно. После этого следует выявить потенциальные угрозы и наиболее вероятные каналы утечки информации для конкретных условий. Их может оказаться достаточно много, но не стоит огорчаться, так как злоумышленник не будет их использовать все сразу. Следующим шагом будет выбор из множества предлагаемых вариантов таких методов, мероприятий и средств, которые можно было бы использовать конкретно в вашей ИС. После того как удалось найти конкретные варианты организационных и технических решений, необходимо подсчитать затраты на их реализацию. Вот здесь можно и огорчиться. Сомнения и чувство досады, возникающие в такие моменты — это вполне нормальное явление. Часто при этом всплывают воспоминания о том, как спокойно жилось, пока проблемы защиты ин формации не были Вам знакомы. Но рано или поздно наступает момент, когда становится ясно: как бы мы этого не хотели, а придется выложить дополнительные средства на организацию защиты своих данных. Было бы неплохо, чтобы такая мысль пришла пораньше, поскольку построить систему защиты информации для готовой (законченной) ин формационной системы можно лишь путем введения целого ряда ограничений, а это, естественно, снижает эффективность функционирования информационной системы в целом. Лучше всего анализировать опасности еще на стадии проектирования рабочей локальной сети или всей системы, чтобы сразу определить потенциальные потери и установить требования к мерам обеспечения безопасности. Выбор защитных и контрольных мероприятий на этой ранней стадии требует гораздо меньших затрат, чем выполнение подобной работы с эксплуатируемой компьютерной системой. Чаще всего бывает достаточно анализа возможных опасностей, чтобы осознать проблемы, которые могут проявиться во время работы. Недаром эксперты по безопасности компьютерных систем часто подчеркивают, что проблемы ЗИ в значительной степени являются социальными, и если эти проблемы загонять внутрь, они могут «выйти боком». Все усилия и средства по защите информации должны быть объединены в стройную систему защиты информации, работающую по принципу: «копейка рубль бережет». Современные популярные и доступные широкому кругу пользователей персональные компьютеры в действительности не обеспечивают безопасность информации, поскольку любой, кто имеет доступ к компьютеру, может изменять, читать или копировать данные. Изначально ПК были созданы для решения бытовых и офисных задач и не предназначались для обработки секретной или конфиденциальной информации. Несколько позднее на базе таких ПК появились локальные сети, а вместе с ними — и «головная боль» от проблем защиты информации. Конечно, решить все эти проблемы непросто. Но, как говорится, вместо того, чтобы хвататься за голову, необходимо просто взяться за ум. Создание СЗИ можно сравнить с пошивом костюма. При наличии обязательных составляющих (брюки, пиджак, рукава, воротник) имеется множество фасонов (вариантов покроя), при этом необходимо учитывать индивидуальные особенности каждого заказчика (пропорции тела, вкусы, привычки). В итоге все стремятся получить удобную, практичную, качественную, красивую, современную вещь. Серьезная работа по практическому использованию информационных технологий началась сравнительно недавно. Широкий выбор разнообразного аппаратно го и программного обеспечения позволяет построить ИС под свои конкретные задачи. Но, как это часть бывает, наблюдается существенный разрыв между тем, что мы имеем в своем распоряжении и тем, что мы можем из этого извлечь… Иначе говоря, компьютер можно использовать не только в качестве неплохой пишущей машинки. Но самое интересное в том, что чем дольше процесс освоения информационных технологий, тем чаще возникает проблема обеспечения сохранности информации и однажды наступает момент, когда становится ясно, что какого бы высокого уровня, ни достигла в своем развитии ИС, проблему ЗИ все-таки придется решать. Было бы неплохо, если бы такая мысль пришла по раньше, поскольку построить СЗИ для (готовой) законченной ИС можно лишь путем введения целого ряда ограничений, а это, естественно, снижает эффективность ИС в целом. Давно известно, что рыть траншею и прокладывать кабель (или трубы) желательно до того, как в этом месте положат асфальт. Так и СЗИ целесообразно строить одновременно с ИС, начиная с этапа проектирования. А можно ли сэкономить на своей информационной безопасности? Да, можно! Но стоить это будет дороже! А если говорить серьезно, то хорошие аппаратные и программные средства защиты информации стоят значительно дороже, и ошибка кроется в том, что их реальную стоимость отождествляют с ценой при покупке. В дальнейшем такая экономия обернется дополнительными расходами в процессе эксплуатации (на доделки, ремонты, потери от отказов и сбоев в процессе старения). Это легко подсчитать, но побеждает странная надежда, что все эти расходы ожидаются в будущем, когда мы разбогатеем. Хотя жизнь упорно подтверждает, что богатеет тот, кто изначально ориентируется на самое лучшее. Мы же зачастую пытаемся экономить на спичках… Вот и приходится тратить неоправданно большие средства на организацию защиты дорогой и ценной информации, которая обрабатывается с помощью бытовой (дешевой) вычисли тельной техники. Впрочем, для получения важной информации не обязательно использовать приемы Джеймса Бонда. Грамотно проведенный анализ больших объемов несекретной информации позволяет получить ответы на любые вопросы секретного характера. Вот почему наряду с известными всем АНБ, ЦРУ и ФБР в США успешно функционируют аналитические службы министерств торговли, энергетики, финансов и другие, которые тесно сотрудничают с многочисленными международными статистическими организациями. Информация, добытая таким простым путем, может быть использована для выработки экономической, торговой или финансовой политики по отношению к интересующим государствам. Развернувшийся процесс конверсии сопровождается созданием на базе оборонных предприятий различных научно-технических центров, акционерных обществ, совместных предприятий. Уникальные конструкторские и технологические разработки, которые ранее использовались исключительно для выпуска оборонных изделий, стали основой для выпуска наукоемкой, конкурентоспособной продукции и охотно приобретаются предпринимателями, правда, за бесценок. Таким образом, большую часть информации, которую мы «дарим» всем желающим, в цивилизованном мире либо продают, либо предоставляют в урезанном виде. Следует признать, что в настоящее время существует некоторое недопонимание проблем защиты информации со стороны государственных министерств и ведомств, а также негосударственных и коммерческих структур. Ссылаясь на экономические трудности, они откладывают решение вопросов защиты информации на второй план. Хотя логика говорит, что системы за щиты должны развиваться одновременно с информационными системами, начиная с этапа проектирования. Опыт проектирования систем защиты еще не достаточен. Однако уже можно сделать некоторые обобщения. Погрешности защиты могут быть в значительной мере устранены, если при проектировании учитывать основные принципы построения системы защиты: Генеральным направлением поиска путей защиты информации является неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось прежде все го в том смысле, что защита информации заключается не просто в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла систем обработки данных при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для защиты ин формации, непременно и наиболее рациональным об разом объединяются в единый целостный механизм — систему защиты, которая должна обеспечивать, говоря военным языком, глубокоэшелонированную оборону, причем не только от злоумышленников, но и от не компетентных или недостаточно подготовленных пользователей и персонала. Основные правила, которыми рекомендуют руководствоваться специалисты при организации работ по защите информации, сводятся к следующему: Обеспечение безопасности информации есть непрерывный процесс, состоящий в систематическом контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты. Безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств за щиты. Никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты. Никакую систему защиты нельзя считать абсолютно надежной, следует исходить из того, что может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации. Существуют следующие представления защищенности ИС: -защищенность это совокупность средств и технологических приемов, обеспечивающих защиту компонентов ИС; -защищенность это минимизация риска, которому могут быть подвергнуты компоненты и ресурсы ИС; -защищенность это комплекс процедурных, логических и физических мер, направленных на предотвращение угроз информации и компонентам ИС. Защищенной ИС будем называть ИС, в которой реализованы механизмы выполнения правил, удовлетворяющих установленному на основе анализа угроз перечню требований по защите информации и компонентов этой ИС. При этом механизмы выполнения указанных правил чаще всего реализуются в виде системы защиты информации. Следовательно, под СЗИ будем понимать совокупность механизмов защиты, реализующих установленные правила, удовлетворяющие указанным требованиям. Выбор защитных и контрольных мероприятий на этой ранней стадии требует гораздо меньших затрат, чем выполнение подобной работы с эксплуатируемой компьютерной системой. Чаще всего бывает достаточно анализа возможных опасностей, чтобы осознать проблемы, которые могут проявиться во время работы. Недаром эксперты по безопасности компьютерных систем часто подчеркивают, что проблемы ЗИ в значительной степени являются социальными, и если эти проблемы загонять внутрь, они могут «выйти боком». Все усилия и средства по защите информации должны быть объединены в стройную систему защиты информации, работающую по принципу: «копейка рубль бережет».

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации.

2. А.Ю.Щеглов Защита компьютерной информации от несанкционированного доступа. – Изд.: Наука и техника, 2004. – 384с.

3. А.Ю.Щеглов. Защита компьютерной информации от несанкционированного доступа. Часть 1. Анализ уязвимостей ОС семейства Windows. Актуальность добавочных средств защиты информации//Information Security (Информационная безопасность). – 2004. — №4. – С.42-44.

4. А.Ю.Щеглов. Защита компьютерной информации от несанкционированного доступа. Часть 2. Анализ встроенных в ОС семейства Windows механизмов защиты//Information Security (Информационная безопасность). – 2004. — №5. – С.44-47.

5. В.Г.Грибунин. «Общие критерии»: мифы и реалии//IT-Security. Системы и средства защиты информации, 2005.

www.ronl.ru


Смотрите также