Автор работы: Пользователь скрыл имя, 21 Февраля 2013 в 10:46, реферат
Использование информационных технологий является неотъемлемой составляющей в реализации современной таможенной политики. Особую роль информационных технологий в таможенном деле подчеркивает тот факт, что в Таможенном кодексе РФ есть отдельный раздел (глава 40 ТК РФ), посвященный информационным системам и технологиям.
информатизации и
• невыполнение требований законодательства и задержки в разработке и
принятии необходимых нормативных правовых и технических
документов в области информационной безопасности.
Результатами реализации угроз информационной безопасности и
осуществления посягательств (способов воздействия) на информационные
ресурсы и информационные системы и процессы в общем случае являются:
• нарушение секретности (конфиденциальности) информации (разглашение,
утрата, хищение, утечка и перехват и т.д.);
• нарушение целостности информации (уничтожение, искажение, подделка
и т.д.);
• нарушение доступности информации и работоспособности
информационных систем (блокирование данных и информационных
систем, разрушение элементов информационных систем, компрометация
системы защиты информации и т.д.).
2.4. Модель нарушителя
информационной безопасности
В качестве вероятного нарушителя информационной безопасности
объектов таможенной инфраструктуры рассматривается субъект, имеющий
возможность реализовывать,
в том числе с помощью
угрозы информационной безопасности и осуществлять посягательства
(способы воздействия) на информационные ресурсы и системы таможенных
органов.
По уровню возможности реализовать угрозы и осуществить
посягательства на информационные ресурсы и системы нарушителей можно
классифицировать следующим образом:
1-ый уровень – внешний нарушитель (группа внешних нарушителей),
самостоятельно осуществляющий создание методов и средств
реализации угроз, а также реализующий угрозы (атаки);
2-ой уровень – внутренний нарушитель, не являющийся пользователем
информационных систем таможенных органов (группа нарушителей, среди
которых есть по крайней мере один указанный выше внутренний
нарушитель), самостоятельно осуществляющий создание методов и
средств реализации угроз, а также реализующий угрозы (атаки);
3-ий уровень – внутренний нарушитель, являющийся пользователем
информационных систем таможенных органов (группа нарушителей, среди
которых есть по крайней мере один указанный выше внутренний
нарушитель), самостоятельно осуществляющий создание методов и
средств реализации угроз, а также реализующий угрозы (атаки);
4-ый уровень – группа
нарушителей (среди которых
являющиеся пользователями информационных систем таможенных органов),
осуществляющая создание методов и средств реализации угроз, а также
реализующая их с привлечением отдельных специалистов, имеющих опыт
разработки и анализа средств защиты информации, используемых в
информационных системах таможенных органов;
5-ый уровень – группа
нарушителей (среди которых
являющиеся пользователями информационных систем таможенных органов),
осуществляющая создание методов и средств реализации атак, а также
реализующая атаки с привлечением научно- исследовательских центров,
специализирующихся в области разработки и анализа средств защиты
информации (включая специалистов в области использования для реализации
угроз (атак) недокументированных средств прикладного программного
обеспечения таможенных органов);
6-ой уровень – спецслужбы иностранных государств, осуществляющие
создание методов и средств реализации угроз, а также реализующие их с
привлечением научно-
области разработки и анализа средств защиты информации (включая
специалистов в области использования для реализации угроз (атак)
недокументированных средств прикладного программного обеспечения).
Предполагается, что на этих уровнях нарушитель является
специалистом высшей квалификации, знает все об информационной системе,
о системе и средствах ее защиты и может при определенных обстоятельствах
осуществить весь спектр посягательств на информационные ресурсы.
В своей противоправной деятельности вероятный нарушитель может
использовать любое
перехвата информации, воздействия на информацию и информационные
системы таможенных органов, адекватные финансовые средства для подкупа
персонала, шантаж и другие средства и методы для достижения стоящих
перед ним целей.
Необходимо учитывать также цели посягательств вероятного
нарушителя на информационные ресурсы и системы. Среди таких целей
может быть хищение информации (шпионаж, в том числе экономический),
намерение совершить корыстное преступление, любопытство,
удовлетворение собственного тщеславия, месть, вандализм и др.
Для различных объектов обеспечения информационной безопасности
таможенных органов модель нарушителя может быть различной и уточняется
по мере необходимости.
3. ФОРМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕАИС
Для предохранения таможенной информации от несанкционированного доступа выделяют следующие формы защиты:
• физические (препятствие);
• законодательные;
• управление доступом;
• криптографическое закрытие.
Физические формы защиты основаны на создании физических
препятствий для злоумышленника, преграждающих ему путь к защищаемой
информации (строгая система пропуска на территорию и в помещения с
аппаратурой или с носителями информации). Эти способы дают защиту
только от "внешних" злоумышленников и не защищают информацию от тех
лиц, которые обладают правом входа в помещение.
Законодательные формы защиты составляют нормативные документы
ФТС России, которые регламентируют
правила использования и
информации ограниченного доступа и устанавливают меры ответственности
за нарушение этих правил.
Управление доступом представляет способ защиты информации путем
регулирования доступа ко всем ресурсам системы (техническим,
программным, элементам баз данных). В таможенных информационных
системах регламентированы порядок работы пользователей и персонала,
право доступа к отдельным файлам в базах данных и т. д. Управление
доступом предусматривает следующие функции защиты:
− идентификацию пользователей, персонала и ресурсов системы
(присвоение каждому объекту персонального идентификатора:
имени, кода, пароля и т.п.);
− аутентификацию – опознание (установление подлинности) объекта
или субъекта по предъявляемому им идентификатору;
− авторизацию – проверку полномочий (проверку соответствия дня
недели, времени суток, запрашиваемых ресурсов и процедур
установленному регламенту);
− разрешение и создание условий работы в пределах установленного
регламента;
− регистрацию (протоколирование) обращений к защищаемым
ресурсам;
− реагирование (сигнализация, отключение, задержка работ, отказ в
запросе) при попытках несанкционированных действий.
Установление подлинности пользователя
Самым распространенным методом установления подлинности
является метод паролей. Пароль представляет собой строку символов,
которую пользователь должен ввести в систему каким-либо способом
(напечатать, набрать на клавиатуре и т. п.). Если введенный пароль
соответствует хранящемуся в памяти, то пользователь получает доступ ко
всей информации, защищенной этим паролем. Пароль можно использовать и
независимо от пользователя для защиты файлов, записей, полей данных
внутри записей и т.д.
Парольная защита широко применяется в системах защиты
информации и характеризуется простотой и дешевизной реализации, малыми
затратами машинного времени,
не требует больших объемов
парольная защита часто не дает достаточного эффекта по следующим
причинам.
1. Чрезмерная длина пароля, не позволяющая его запомнить,
стимулирует пользователя к записи пароля на подручных бумажных
носителях, что сразу делает пароль уязвимым.
2. Пользователи склонны к выбору тривиальных паролей, которые
можно подобрать после небольшого числа попыток тривиального перебора.
3. Процесс ввода пароля
в систему поддается
случае, когда вводимые символы не отображаются на экране.
4. Таблица паролей, которая
входит обычно в состав
обеспечения операционной системы, может быть изменена, что нередко и
происходит. Поэтому таблица паролей должна быть закодирована, а ключ
алгоритма декодирования должен находиться только у лица, отвечающего за
безопасность информации.
5. В систему может быть внесен "троянский конь", перехватывающий
вводимые пароли и записывающий их в отдельный файл, поэтому при работе
с новыми программными продуктами необходима большая осторожность.
При работе с паролями рекомендуется применение следующих правил
и мер предосторожности:
• не печатать пароли и не выводить их на экран;
• часто менять пароли – чем дольше используется один и тот же пароль, тем
больше вероятность его раскрытия;
• каждый пользователь должен хранить свой пароль и не позволять
посторонним узнать его;
• всегда зашифровывать пароли и обеспечивать их защиту недорогими и
эффективными средствами;
• правильно выбирать длину пароля (чем она больше, тем более высокую
степень безопасности будет обеспечивать система), так как труднее будет
отгадать пароль.
Основным методом защиты информации, хранящейся в ЕАИС, от
несанкционированного доступа является метод обеспечения разграничения
функциональных полномочий и доступа к информации, направленный на
предотвращение не только возможности потенциального нарушителя
«читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя
модифицировать ее штатными и нештатными средствами.
Надежность защиты может быть обеспечена правильным подбором
основных механизмов защиты, некоторые из них рассмотрим ниже.
Механизм регламентации, основанный на использовании метода
защиты информации, создает
такие условия
хранения и передачи защищаемой информации, при которых возможности
НСД к ней сводились бы к минимуму.
Механизм аутентификации. Различают одностороннюю и взаимную
аутентификацию. В первом случае один из взаимодействующих объектов
проверяет подлинность другого, тогда как во втором случае проверка
является взаимной.
Криптографические методы защиты информации. Эти методы
защиты широко применяются за рубежом как при обработке, так и при
хранении информации, в том числе на дискетах. Для реализации мер
безопасности используются различные способы шифрования
(криптографии), суть которых заключается в том, что данные, отправляемые
на хранение, или сообщения, готовые для передачи, зашифровываются и тем
Информация о работе Информационная защита таможенных технологий