Информация, информационные отношения. Интернет. Межсетевые экраны

Автор работы: Пользователь скрыл имя, 14 Февраля 2013 в 20:56, контрольная работа

Описание работы

Предприятием можно назвать как небольшую фирму со штатом в несколько человек, так и огромный завод. На большом предприятии каждое подразделение (администрация, бухгалтерия, отдел кадров) обычно состоит из десятков сотрудников со своей иерархией. Напротив, на небольшом предприятии некоторые отделы (или даже несколько отделов) могут быть представлены одним человеком. Например, возможна ситуация, когда руководитель небольшой молодой фирмы лично занимается вопросами приема сотрудников на работу, совмещая роль директора и начальника отдела кадров.

Содержание работы

1. Предприятие как объект защиты информации……………….……………...….3

2. Система защиты информации……..……...………………………………………6

3. Угрозы безопасности информации………………………………….………....…7

4. Законодательный уровень информационной безопасности…………..….….....8
5.Инженерно-техническая защита информационной безопасности …………….9
6.Контроль доступа к информации…………………………….……….……..….11
7.Криптографическая защита информации и телекоммуникаций………..….…13
8.Безопасность компьютерных сетей……………………………….……….....…17
9.Вирусы и другие вредоносные программы сети Интернет………….………...19
10.Межсетевые экраны……..……...……………………………………………..…20
11.Опасность использования нелицензированного ПО………………………..…21



Практическая часть 1…………………….…..………………………………………23

Практическая часть 2……………………………...…………………………………26

Расчет информационных рисков……………………...………………………...…..28

Решение задач…………………………………………...…………………………...29



Список литературы………………………………………………..…………………33

Файлы: 1 файл

Контрольная.doc

— 623.00 Кб (Скачать файл)
      • организация явного или скрытого контроля за работой пользователей
      • организация учета, хранения, использования, уничтожения документов и носителей информации.
      • организация охраны и надежного пропускного режима
      • мероприятия, осуществляемые при подборе и подготовке персонала
      • мероприятия по проектированию, разработке правил доступа к информации
      • мероприятия при разработке, модификации технических средств
    1. Физические.

Применение разного  рода технических средств охраны и сооружений, предназначенных для  создания физических препятствий на путях проникновения в систему.

    1. Технические.

Основаны на использовании  технических устройств и программ, входящих в состав АС и выполняющих  функции защиты:

    • средства аутентификации
    • аппаратное шифрование
    • другие

 

4. Действующие  законы по защите информации 

1.  О связи.  (Федеральный  закон № 126-ФЗ от 07.07.2003.)

2.  О коммерческой  тайне (Федеральный закон №  98-ФЗ от 29.07.2004.)

3. О техническом регулировании  (Федеральный закон № 184-ФЗ  от 27.12.2002.)

4. Об электронной цифровой  подписи. (Федеральный закон Российской  Федерации от 10.01.2002, № 1-ФЗ.)

5. О федеральных органах  правительственной связи и информации

(Федеральный закон  от 19.02.1993, № 4524-1.)

6. Об информации, информатизации  и защите информации. (Федеральный  закон от 20.02.1995, № 24-ФЗ.)

7. Закон РФ об авторском  праве и смежных правах. (От 09.07.1993, № 5351-1.)

8. Закон о правовой  охране топологий интегральных  микросхем

(От 23.09.1992, № 3526-1.)

9. Закон о правовой  охране программ для ЭВМ и  БД

(От 23.09.1992, № 3523-1.)

10. Преступления в сфере  компьютерной информации. (Уголовный  кодекс Российской Федерации, глава 28.)

11. Правила регистрации  договоров на программы для  ЭВМ, БД и топологии ИС.

(Приказ Российского  агентства по правовой охране  программ для ЭВМ, баз данных  и топологий интегральных микросхем  № 9п.)

12. Правила составления, подачи и рассмотрения заявок на официальную регистрацию топологий интегральных схем

(Приказ Российского  агентства по правовой охране  программ для ЭВМ, баз данных  и топологий интегральных микросхем  № 8п.)

13. Правила составления,  подачи и рассмотрения заявок на официальную регистрацию программ для ЭВМ и БД

(Приказ Российского  агентства по правовой охране  программ для ЭВМ, баз данных  и топологий интегральных микросхем  от 5 марта 1993 года № 7п.)

14. О государственном  учете и регистрации баз и  банков данных

(Постановление Правительства  Российской Федерации от 28 февраля  1996 года № 226.)

15. Законность в области  разработки, производства, реализации  и эксплуатации шифровальных  средств

(Указ Президента Российской  Федерации от 3 апреля 1995 года №  334.)

16. Перечень технически сложных товаров, подлежащих замене при обнаружении существенных недостатков

(Постановление Правительства  Российской Федерации 13 мая 1997 года № 575.)

17. Изменения в положении  о регистрационных сборах за  официальную регистрацию программ для ЭВМ, БД и топологий ИС

(Постановление правительства  Российской Федерации от 23 апреля 1994 года № 382.)

 

18. Регистрационные сборы  за официальную регистрацию программ  для ЭВМ, БД и топологий ИС

(Постановление Совета  Министров — Правительства Российской Федерации от 12 августа 1993 года № 793 (в сокращении).

 

5. Инженерно-техническая  защита информационной безопасности.

Все известные на настоящий  момент меры защиты информации можно  разделить на следующие виды:

  • правовые;
  • организационные;
  • технические.

В большинстве работ правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение организационных и правовых мер вызвано отчасти объективно сложившимися обстоятельствами:

  • проблемы законодательного регулирования защиты информации регламентировались ограниченным и явно недостаточным количеством нормативно-правовых актов;
  • в отсутствии законодательства по вопросам защиты информации разрабатывалось большое количество ведомственных нормативных документов, основное назначение которых заключалось в определении организационных требований по обеспечению защиты информации;
  • внедрение автоматизированных информационных систем требует соответствующего правового обеспечения их защиты, однако, на практике в развитии правовой базы не произошло существенных изменений и приоритет остается за организационными мерами.

Физические  средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

  • внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);
  • внутренняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);
  • опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения).

Аппаратные средства – различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы  обработки данных или сопрягаемые  с ней специально для решения  задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

  • нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее утечки по техническим каналам;
  • поиск закладных устройств – защита от использования злоумышленником закладных устройств съема информации;
  • маскировка сигнала, содержащего конфиденциальную информацию, – защита информации от обнаружения ее носителей (стенографические методы) и защита содержания информации от раскрытия (криптографические методы).

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

Программные средства –  специальные пакеты программ или  отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п.

6. Криптографическая защита информации

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω  — пишу) — наука о методах  обеспечения конфиденциальности (невозможности  прочтения информации посторонним) и аутентичности (целостности и  подлинности авторства, а также  невозможности отказа от авторства) информации.

Криптография не занимается: защитой от обмана, подкупа или  шантажа законных абонентов, кражи  ключей и других угроз информации, возникающих в защищенных системах передачи данных.

 Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) — система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифрования сообщения используется секретный ключ.[1] Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в протоколах TLS и его предшественнике SSL (лежащих в основе HTTPS), в SSH. Также используется в PGP, S/MIME.

Симметри́чные криптосисте́мы (также симметричное шифрование, симметричные шифры) — способ шифрования, в котором для (за)шифрования и расшифровывания применяется один и тот же криптографический ключ. До изобретения схемы асимметричного шифрования единственным существовавшим способом являлось симметричное шифрование. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.

 

Ассиметричное шифрование.

Алгоритмы асимметричного шифрования, называемые также алгоритмами с открытым ключом. Шифрование с открытым ключом является асимметричным, поскольку использует два различных ключа для шифрования и дешифрования.Также необходимо создать такие механизмы, при использовании которых невозможно было бы подменить кого-либо из участников, т.е. нужна цифровая подпись. Два ключа, используемые при шифровании с открытым ключом, называются открытым ключом и закрытым ключом. Закрытый ключ держится в секрете. Алгоритм шифрования с открытым ключом уязвим для лобовой атаки. Защита от этого стандартная: использовать большие ключи.Другая форма атаки состоит в том, чтобы найти способ вычисления закрытого ключа, зная открытый ключ.

Шифрование с открытым ключом состоит из следующих шагов:

 

  1. Пользователь В создает пару ключей KUb и KRb, используемых для шифрования и дешифрования передаваемых сообщений.
  2. Пользователь В делает доступным некоторым надежным способом свой ключ шифрования, т.е. открытый ключ KUb. Составляющий пару закрытый ключ KRb держится в секрете.
  3. Если А хочет послать сообщение В, он шифрует сообщение, используя открытый ключ В KUb .
  4. Когда В получает сообщение, он дешифрует его, используя свой закрытый ключ KRb. Никто другой не сможет дешифровать сообщение, так как этот закрытый ключ знает только В.

 

 

Система подписанных приложений.

Приобретая коробочное ПО, вы обычно не сомневаетесь, что программный  продукт, находящийся внутри, принадлежит  производителю. Однако, скачивая продукт  из Сети, вы не можете быть уверены, что  поставщик данного ПО является именно тем, за кого он себя выдает, а скачиваемое ПО не содержит вирусов.

Данная проблема решается путем  внедрения в распространяемый продукт  кода аутентификации (Authenticode), позволяющего разработчикам ПО посредством использования  цифровой подписи включать информацию о разработчике в распространяемые программы.

Скачивая ПО, подписанное кодом  аутентификации и заверенное центром  сертификации, пользователи могут быть уверены, что данное ПО не было изменено после подписания.

Согласно компонентной модели, такие  элементы, как ActiveX- или Java-аплеты, могут загружаться на ваш компьютер во время обращения на Web-ресурс, например, для воспроизведения анимации. Для того чтобы исключить загрузку небезопасного кода, применяется система подписанных приложений. На основе данной технологии пользователи могут безбоязненно получать подписанные ActiveX controls, Java-аплеты и другие приложения. Если пользователь Internet Explorer встретит компонент, распространяемый без подписи, программа (в зависимости от внутренних настроек безопасности браузера) либо откажется загрузить такой код, либо выдаст предупреждение о небезопасном компоненте. Если же пользователь столкнется с подписанным аплетом, клиентская программа подтвердит безопасность компонента.

 

8. Безопасность  компьютерных сетей.

 Основные понятия и определения в сфере информационной безопасности:

Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.

Уязвимость  компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы.

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой.

Информация о работе Информация, информационные отношения. Интернет. Межсетевые экраны