Автор работы: Пользователь скрыл имя, 17 Ноября 2013 в 12:04, реферат
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств. Если исходить из классического рассмотрения кибернетической модели любой управляемой системы, возмущающие воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным
Введение
Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).
Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств. Если исходить из классического рассмотрения кибернетической модели любой управляемой системы, возмущающие воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Однако в данной главе наибольшее внимание уделяется угрозам умышленным, которые, в отличие от случайных, преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды. Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером). Сегодня можно утверждать, что рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз ИС и ИТ.
1. Информационная безопасность
Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную систему, имеющую сертификат безопасности.
Так сложилось, что в России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой ценной. Общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности - это проблема всего общества. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности - Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется. Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ. Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования. Названия ключевых механизмов обеспечения информационной безопасности:
- идентификация и
- управление доступом;
- протоколирование и аудит;
- криптография;
- экранирование.
2. Методы обеспечения информационной безопасности
По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз. На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности :
· средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
· средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
· межсетевые экраны;
· виртуальные частные сети;
· средства контентной фильтрации;
· инструменты проверки
целостности содержимого
· средства антивирусной защиты;
· системы обнаружения
уязвимостей сетей и
Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ. «Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?», являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске.
3. Технология защиты информации
Все виды информационных угроз можно разделить на две большие группы :
Выделяют следующие основные группы причин сбоев и отказов в работе компьютерных систем:
Помимо естественных способов выявления и своевременного устранения, указанных выше причин, используют следующие специальные способы защиты информации от нарушений работоспособности компьютерных систем:
Защита от некорректного использования информационных ресурсов заключается в корректном функционировании программного обеспечения с позиции использования ресурсов вычислительной системы. Программа может четко и своевременно выполнять свои функции, но некорректно использовать компьютерные ресурсы из-за отсутствия всех необходимых функций (например, изолирование участков оперативной памяти для операционной системы и прикладных программ, защита системных областей на внешних носителях, поддержка целостности и непротиворечивости данных). Задачи по защите от угроз каждого вида одинаковы:
Широкое внедрение в повседневную практику компьютерных сетей, их открытость, масштабность делают проблему защиты информации исключительно сложной. Выделяют две базовые подзадачи:
Международное признание для защиты передаваемых сообщений получила программная система PGP (Pretty Good Privacy - очень высокая секретность), разработанная в США и объединяющая асимметричные и симметричные шифры. Являясь самой популярной программной криптосистемой в мире, PGP реализована для множества операционных сред -MS DOS, Windows 95, Windows NT, OS/2, UNIX, Linux, Mac OS, Amiga, Atari и др.
Заключение
Проблема защиты информации появилась задолго до разработки компьютерной техники, а появление ЭВМ лишь перевело ее на новый уровень. И как показывает практика: лучшая защита от нападения это не допускать его. Нельзя защиту информации ограничивать только техническими методами. Основной недостаток защиты - это человеческий фактор и поэтому надежность системы безопасности зависит от отношения к ней.
Для поддержания защиты на высоком уровне необходимо постоянно совершенствоваться вместе с развитием современной техники и технологий, так сказать двигаться в ногу со временем.
Информация о работе Информационная безопасность и информационные технологии защиты информации