Отчет по практике в ОАО «ММЗ»

Автономная некоммерческая организация

Высшего профессионального  образования

^{«Межрегиональный открытый социальный институт»}

Кафедра математики, информатики  и информационной безопасности

ОТЧЕТ

по преддипломной практике на предприятии ОАО «ММЗ»

Йошкар-Ола

2013 
Содержание

Введение

Обеспечение информационной безопасности является сегодня одним  из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики - отечественные антивирусы считаются одними из лучших в мире.

С точки зрения информационной безопасности многие компании сегодня  напоминают крепости, окруженные несколькими  периметрами мощных стен. Однако практика показывает, что информация все равно  утекает. Отсюда вытекает необходимость разработки эффективной и экономически выгодной системы безопасности информационных систем предприятия.

1. Теоритическая часть

1. Теория информационной безопасности и методология защиты информации

Если вы не вчера приступили к изучению азов компьютерной грамотности, то наверняка уже встречались и с разрушительными последствиями заражения компьютера вирусами или троянами, и со случайной потерей очень важного файла, и со спам-рассылками, постоянно переполняющими электронный ящик. На первый взгляд, перечисленные события мало связаны и не зависят друг от друга. Чтобы бороться со спамом, нужно налаживать фильтры, чтобы не терять файлы — вовремя их копировать, чтобы оградить компьютер от вирусов — наживлять антивирусы. Все — очевидно! Так почему же сотни тысяч пользователей ежедневно хватаются за голову, потеряв нужный файл, обнаружив, что CIH “убил мамку” 66 Kb или коварный Вася Пупкин потер системную директорию? Почему вроде бы знающие о мерах безопасности люди постоянно наступают на одни и те же грабли?!

Все до банальности просто и в то же время сложно. При  рассмотрении любой жизненной ситуации — будь то варка супа, поход в  магазин или налаживание сетевой  защиты — существует несколько уровней  контроля этой ситуации. Самый нижний уровень — тот, на котором вы предпринимаете конкретные узкоспециализированные действия для достижения результата. Например, при варке супа вы должны мелко нарезать картошку, посолить воду, поперчить ее, добавить лаврушки. Это так называемый уровень высокой детализации. Он характеризуется тем, что работать на нем очень просто: есть перечень конкретных действий, которые надо выполнить, чтобы получить результат.

Более высокий уровень  — уровень промежуточного контроля. На нем вы смотрите, как связаны  те или иные действия уровня высокой детализации. Если вы варите суп, то уровень промежуточного контроля — это соблюдение соотношения компонентов супа: мяса, картошки, моркови, соли... Если соотношение не соблюдено, то суп получится либо пересоленным, либо недостаточно жирным, либо постным. Но это будет все же именно суп.

Наконец, самый высокий  уровень контроля — метауровень. Он описывает процесс в целом, не заостряя внимания на деталях. Только с метауровня можно контролировать развитие той или иной системы. Применительно  к варке супа это означает, что вы постоянно держите в голове, что хотите сварить именно суп, что для этого обязательно нужна вода, кастрюля, какие-то ингредиенты, что воды должно быть достаточно, что варить суп дольше сорока минут нельзя — выкипит! Основная особенность метауровня в том, что его принципы очень просты (до банальности), но без их соблюдения невозможно достичь желаемого результата.

Ситуация с компьютерной безопасностью аналогична ситуации с варкой супа: законы контроля систем — универсальны. Но есть одно отличие. Варя суп, все мы постоянно контролируем процесс на метауровне. Мы варим именно суп. При попытке же наладить безопасность компьютера мы об этом уровне контроля часто забываем. Мы сразу опускаемся до уровня промежуточного контроля и смотрим, как наладить связь между брандмауэром, антивирусной программой и почтовым клиентом. А иногда и вовсе перескакиваем сразу на уровень высокой детализации: прописываем сложные скрипты для файерволов, определяем папки для сканирования антивирусным монитором...

Давайте разберемся, по каким законам живет мир информации. Каковы те самые “банальные” принципы, которые все считают настолько простыми, что постоянно о них забывают?

В России, как и во всем мире, существует законодательство, регулирующее вопросы информационной безопасности, а также защиты информации. В первую очередь это законы РФ. Советуем ознакомиться с законом “Об информации, информатизации и защите информации” от 20 февраля 1995 года, так как именно он положен в основу всего информационного обмена в России. Из других нормативных актов стоит почитать документы Гостехкомиссии, касающиеся защиты информации и защиты от несанкционированного доступа, а также документы ФАПСИ по этому вопросу. На тему информационной безопасности существует порядка 40 разнообразных законов, постановлений, нормативных актов, которые постоянно развиваются.

В официальной литературе информационной безопасностью называют меры по защите информации от неавторизованного  доступа, разрушения, модификации, похищения  и задержек в доступе. И первым основополагающим принципом информационной защиты является именно авторизация. Если не углубляться в терминологию, авторизированный доступ — это идентификация, однозначное определение пользователя с помощью одной из систем защиты. Это может быть как парольная защита, так и доступ по смарт-карте или электронному ключу. Встречаются и экзотические методы авторизации — по отпечаткам пальцев, по сетчатке и радужной оболочке глаза.

В домашних условиях редко  приходится подключать сканер сетчатки глаза, чтобы защитить информацию. Тут вступает в действие принцип адекватности контроля: любая защита должна быть адекватной. То есть не стоит защищать семью замками и восемью печатями дверь в комнату, в которой нет ничего, кроме старого матраса. Идеально защищенная система — это система, которая никак не обменивается данными с окружающим миром. То есть ничего в эту систему не поступает и ничего из нее не выходит. Это — идеал защищенности. Но есть одна проблема. Если довести до такого состояния компьютер, вы не сможете на нем работать. Поэтому уровень защиты должен быть заведомо ниже. Важен и еще один момент: чем выше уровень контроля, тем сложнее работать с системой. Именно поэтому важно подобрать адекватную защиту. Чтобы и работать можно было, и злобный хакер не винчестер не пролез.

Для домашнего компьютера, если на нем не хранятся секретные  архивы КГБ, достаточно установить пароль и задать разграничение доступа (благо, современные операционные системы  это позволяют). Этим вы не только ограничите просмотр личной информации вашими домашними, но и защитите данные от случайного изменения и даже удаления.

В серьезных компаниях  вопросами защиты информации и безопасности данных занимаются специально обученные  люди — сисадмины (системные администраторы) или обишники (инженеры по обеспечению безопасности информации). От большинства простых пользователей они отличаются тем, что, даже разбуженные ночью или в пьяном угаре, как отче наш проговорят три принципа защиты информации на компьютере.

Принцип предотвращения подразумевает, что лучше избежать проблемы, чем заполучить ее, героически с ней сражаться и с блеском решить. Принцип обнаружения сводится к тому, что, если предотвратить неприятность не удалось, своевременное ее обнаружение в большинстве случаев способно свести неприятности к минимуму. Если вы ненароком подцепили вирус (компьютерный, хотя для болезнетворных вирусов принцип также работает), то быстро начатое лечение способно пресечь разрушительные действия паразита. Принцип восстановления гласит, что данные, которые могут быть утеряны, обязательно должны храниться в виде резервных копий. Что подойдет лично вам — дискетки, магнитооптика, CD-RW или “брелки” с flash-карточкой, — вам же и решать. Вариантов современная компьютерная индустрия предлагает множество. Даже методы форматирования жестких дисков развиваются согласно принципам восстановления и защиты информации. Одно из отличий NTFS от FAT, например, состоит в возможности назначать права доступа отдельно к каждому файлу.

Прошли те времена, когда  хакерами были специалисты, детально знающие компьютерную технику и способные творить чудеса с программным кодом. Сейчас любой усидчивый, любознательный, но особо не обремененный моральными принципами подросток способен создать рядовому пользователю массу проблем. За примерами далеко ходить не надо, достаточно почитать новости интернета. По нескольку раз в месяц разгораются скандалы или целые судебные разбирательства, связанные с молодыми людьми, запустившими новый почтовый червь, взломавшими сервер банка, компьютеры министерства обороны США... Как правило, такие хулиганы попадаются из-за собственной невнимательности или желания прославиться. При соблюдении мер предосторожности мошенников в сфере высоких технологий вычислить весьма трудно. В частности, именно поэтому преступлениями в сфере информационных технологий занимается Интерпол.

Злоумышленнику, для того чтобы получить доступ к конфиденциальной информации, порой не требуется даже специальных навыков и умений. Во многих случаях срабатывает человеческий фактор, например бумажка с написанным паролем на мониторе или под стеклом возле клавиатуры. Пароли, как правило, тоже оригинальностью не отличаются. А в недрах интернета всегда можно найти программы, которые возьмут на себя рутинную работу по перебору наиболее очевидных паролей.

Сейчас любой, даже слабо разбирающийся в компьютерах, хулиган за 15 минут найдет в интернете с десяток программ для подбора пароля из 4—6 символов и предоставляющих доступ к удаленному компьютеру. А ведь помимо хакеров есть еще и фрикеры, специализирующиеся на взломе электронных устройств, в частности, на сотовых телефонах, и кардеры, взламывающие пароли и подбирающие номера к кредиткам. Но если пользователь помнит о принципе избыточности защиты информации, то все их попытки подобрать пятнадцатизначный пароль будут тщетны.

Основными принципами —  метауровнем — защиты информации являются: авторизация, адекватная защита информации в целом, предотвращение потери данных, обнаружение нарушенной защиты, возможность восстановления по резервной копии и принцип  избыточной защиты в узловых (не рабочих) точках. Если соблюдать все эти простые принципы, то вероятность потери информации с вашего компьютера значительно снизится. Однако теория теорией, но что же нужно делать? Как на практике реализовать общие принципы защиты? Вкратце пробежимся по основным методам. Важно при выполнении этих методов помнить о том, как работает метауровень контроля системы: только при выполнении всех правил система будет достаточно защищена. Если вы пропускаете хотя бы один пункт, вы ослабляете всю систему.

1. После установки  операционной системы и необходимого  софта, конфигурирования всего  и вся создайте образ диска  (например, с помощью утилиты PowerQuest Drive Image или другой аналогичной  программы). Так вы сможете быстро  восстановить операционную систему  при сбоях.

2. Не оставляйте на  компьютере учетные записи пользователей  по умолчанию (для всех Гостей), отключите их. Лучше заведите  для каждого, кто пользуется  компьютером, свою учетную запись  и назначьте соответствующие  права для каждого пользователя. Это займет пять минут вашего времени, но вы не только закроете доступ к важной информации, но и уменьшите риск вредоносных действий программных закладок и других опасных программ.

3. Задайте для директорий  с важными документами разграничение  доступа. Так вы защитите документы от нежелательного просмотра, а также предотвратите их случайное удаление или изменение.

4. Храните резервные  копии самых важных документов  на внешнем носителе.

5. Избегайте простых  и примитивных паролей. Пароли  типа “QWERTY”, “ВАСЯ”, “SEX” и подобные им подбираются в течение нескольких секунд. Лучше всего задавайте нетривиальные пароли, состоящие не менее чем из 9—12 символов и состоящие как из букв, так и цифр.