Организация защиты информации в информационных системах и технологиях

 

 

 

 

Курсовая работа

 

по дисциплине: «Информационные технологии в менеджменте»

          на тему: «Организация защиты информации в информационных системах и технологиях»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СОДЕРЖАНИЕ

 

          Введение…………………………………………………………...…….….3

Глава 1. Организация защиты информации в информационных        системах и технологиях………………………………………………………......5

     1.1. Основные понятия безопасности компьютерных систем… …………………………………………………………………………......…….....5

     1.2. Основные сервисы безопасности ……………………….……..…7

     1.2.1. Идентификация и аутентификация ………………………...…7

     1.2.2. Управление доступом ……………………………………….....10

     1.2.3. Протоколирование и аудит ………………………………..…12

     1.2.4. Криптография...............................................................................13

     1.2.5. Экранирование………………………………………………...15

     1.3. Средства защиты информации…………………………………16

     1.4. Способы защиты информации………………………………….17

     1.5. Защита информации в ПЭВМ. Каналы утечки информации…………………………………………………………………..…..19

    1.6. Организационные и организационно-технические меры защиты информации в системах обработки данных……………………………………22

          Глава 2. Современные программные угрозы информационной безопасности……………………………………………………………………25

     2.1. Основные типы угроз вычислительным системам……………27

         Заключение…………………………………………………………………30

         Список использованных источников …………………….…………..…32

 

ВВЕДЕНИЕ

 

           Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информацию, которую должны знать не все. Люди, обладающие такой информацией, прибегали к разным способам ее защиты. Из известных примеров это такие способы как тайнопись, шифрование. В настоящее время всеобщей компьютеризации благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами. К таким объектам можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, системы обработки и хранения секретной и конфиденциальной информации.

           Для нормального и безопасного функционирования этих систем необходимо поддерживать их безопасность и целостность.

          Одной из оборотных сторон компьютерных информационных технологий является обострение проблемы защиты информации. Данные в компьютерной форме сосредоточивают в физически локальном и небольшом объеме огромные массивы информации, несанкционированный доступ к которой или ее разрушение могут приводить порой к катастрофическим последствиям и ущербу. Возможность быстрого, во многих случаях практически мгновенного, и без следов копирования огромных массивов данных, находящихся в компьютерной форме, в том числе и удаленно расположенных, дополнительно провоцирует злоумышленников на несанкционированный доступ к информации, ее несанкционированную модификацию или разрушение.

Вместе с тем теоретическая  проработка вопросов обеспечения безопасности информации и их практическая реализация долгое время отставали от уровня развития программной индустрии  СУБД, и в коммерческих продуктах средства обеспечения безопасности данных стали появляться лишь в 90-х годах.

Импульсы развития и первые исследования теории и практики обеспечения безопасности данных в компьютерных системах были обусловлены, прежде всего, потребностями военной сферы, где проблема безопасности в целом, и компьютерной безопасности в частности стоят особенно остро. Начало этим процессам было положено исследованиями вопросов защиты компьютерной информации, проведенными в конце 70-х — начале 80-х годов национальным центром компьютерной безопасности (NCSC — National Computer Security Center) Министерства обороны США. Результатом этих исследований явилось издание Министерством обороны США в 1983 г. документа под названием «Критерии оценки надежных компьютерных систем», впоследствии по цвету обложки получившего название «Оранжевой книги». Данный документ стал фактически первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы сертификации компьютерных систем по критериям защиты информации.

Цель работы изучить организацию защиты информации в информационных системах и технологиях.

В рамках данной цели поставлены следующие задачи:

- анализ способов защиты информации в информационных системах и технологиях;

- изучение мер защиты информации в системах обработки данных;

- рассмотрение основных понятий безопасности компьютерных систем.

Объектом  исследования является формирующаяся система защиты информации.

Предмет исследования - организация защиты информации в информационных        системах и технологиях.

Моя курсовая работа изложена на 33 страницах, состоит из 2-х глав, введения, заключения и 3-х рисунков.

Глава 1. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ И ТЕХНОЛОГИЯХ

 

1.1 Основные понятия безопасности компьютерных систем

 

Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних  угроз.

Под целостностью понимается как способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения. Согласно руководящему документу Гостехкомиссии России “Защита от несанкционированного доступа к информации. Термины и определения” угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему, которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой.

Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества.

Ущерб безопасности подразумевает  нарушение состояния защищенности содержащейся в вычислительной системе  информации путем осуществления  несанкционированного доступа к  объектам вычислительной системы.

Несанкционированный доступ определяется как доступ к информации, нарушающий правила разграничения  доступа с использованием штатных  средств, предоставляемых вычислительными  системами. Можно ввести более простое  определение несанкционированному доступу: несанкционированный доступ заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует.

Реализация угрозы называется атакой. Человек, стремящийся реализовать  угрозу, называется нарушителем, или  злоумышленником. 
Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, по целям атаки и т.д. Рассмотрим общую классификацию угроз безопасности вычислительных систем по средствам воздействия на них. С этой точки зрения все угрозы могут быть отнесены к одному из следующих классов:

1. Вмешательство человека в работу вычислительной системы. К этому классу относятся организационные средства нарушения безопасности вычислительных систем (кража носителей информации, несанкционированный доступ к устройствам хранения и обработки информации, порча оборудования) и осуществление нарушителем несанкционированного доступа к программным компонентам вычислительной системы (все способы несанкционированного проникновения в вычислительные системы, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам вычислительной системы). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам вычислительной системы), также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (попыток подбора паролей).

2. Аппаратно-техническое вмешательство в работу вычислительной системы. Это нарушения безопасности и целостности информации в вычислительной системе с помощью технических средств, например, получение информации по электромагнитному излучению устройств вычислительной системы, электромагнитные воздействия на каналы передачи информации и другие методы. Защита от таких угроз, кроме организационных мер, предусматривает соответствующие аппаратные (экранирование излучений аппаратуры, защита каналов передачи информации от прослушивания) и программные меры (шифрация сообщений в каналах связи).

3. Разрушающее воздействие на программные компоненты вычислительной системы с помощью программных средств. Такие средства называются разрушающими программными средствами. К ним относятся компьютерные вирусы, троянские кони (или «закладки»), средства проникновения в удаленные системы с использованием локальных и глобальных сетей. Средства борьбы с подобными атаками состоят из программно и аппаратно реализованных систем защиты.

 

1.2 Основные сервисы безопасности

 

1.2.1 Идентификация и аутентификация

 

Идентификацию и аутентификацию можно считать основой программно-технических  средств безопасности, поскольку  остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет  субъекту - пользователю или процессу, действующему от имени определенного  пользователя, назвать себя, сообщив  свое имя. Посредством аутентификации вторая сторона убеждается, что субъект  действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить  свою подлинность, если предъявит, по крайней  мере, одну из следующих сущностей:

          1. нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;

          2. нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;

          3. нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики.

Надежная идентификация  и аутентификация затруднена по ряду принципиальных причин.

Во-первых, компьютерная система  основывается на информации в том  виде, в каком она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник  мог воспроизвести ранее перехваченные  данные. Следовательно, необходимо принять  меры для безопасного ввода и  передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями.

Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать.

В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить  аутентификационную информацию (ведь на его место мог сесть другой человек), а это повышает вероятность подглядывания за вводом.

В-четвертых, чем надежнее средство защиты, тем оно дороже.

Необходимо искать компромисс между надежностью, доступностью по цене и удобством использования  и администрирования средств  идентификации и аутентификации. Обычно компромисс достигается за счет комбинирования двух первых из перечисленных базовых механизмов проверки подлинности.

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный  и ранее заданный для данного  пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность и обеспечивающее наибольшую эффективность, - секретные криптографические ключи пользователей.

Главное достоинство парольной  аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций  уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом подбора. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.

Пароли уязвимы по отношению  к электронному перехвату - это наиболее принципиальный недостаток, который  нельзя компенсировать улучшением администрирования  или обучением пользователей. Практически  единственный выход - использование  криптографии для шифрования паролей  перед передачей по линиям связи  или вообще их не передавать.

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

          1. наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

          2. управление сроком действия паролей, их периодическая смена;