Автор работы: Пользователь скрыл имя, 11 Мая 2013 в 00:41, курсовая работа
Защита информации может решаться разными методами, но наибольшей надежностью и эффективностью обладают (а для каналов связи являются единственно целесообразными) системы и средства, построенные на базе криптографических методов. В случае использования иных методов большую сложность составляет доказательство достаточности реализованных мер и обоснование надежности системы защиты от несанкционированного доступ
Введение 3
1. Понятие информационных угроз и их виды 4
2. Принципы построения системы информационной безопасности 15
3. Механизмы шифрования 21
4. Организация системы защиты информации экономических систем 24
Заключение 28
Список литературы 29
- несанкционированный доступ к информационной системе – происходит в результате получения нелегальным пользователем доступа к информационной системе;
- раскрытие данных – наступает в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или намеренным образом;
- несанкционированная модификация данных и программ – возможна в результате модификации, удаления или разрушения человеком данных и программного обеспечения локальных вычислительных сетей случайным или намеренным образом;
- раскрытие трафика локальных вычислительных сетей – произойдет в результате доступа к информации или ее чтения человеком и возможного ее разглашения случайным или намеренным образом тогда, когда информация передается через локальные вычислительные сети;
- подмена трафика локальных вычислительных сетей – это его использование легальным способом, когда появляются сообщения, имеющие такой вид, будто они посланы законным заявленным отправителем, а на самом деле это не так;
- неработоспособность локальных вычислительных сетей – это следствие осуществления угроз, которые не позволяют ресурсам локальных вычислительных сетей быть своевременно доступными.
Способы воздействия угроз на информационные объекты подразделяются на:
– информационные;
– программно-математические;
– физические;
– радиоэлектронные;
– организационно-правовые.
К информационным способам относятся:
– нарушение
адресности и своевременности
противозаконный сбор и использование информации;
– несанкционированный доступ к информационным ресурсам;
– манипулирование информацией (дезинформация, сокрытие или сжатие информации);
– нарушение технологии обработки информации.
Программно-математические способы включают:
– внедрение компьютерных вирусов;
– установка программных и аппаратных закладных устройств;
– уничтожение или модификацию данных в автоматизированных информационных системах.
Физические способы включают:
– уничтожение или разрушение средств обработки информации и связи;
– уничтожение, разрушение или хищение машинных или других носителей информации;
– хищение программных или аппаратных ключей и средств криптографической защиты информации;
– воздействие на персонал;
– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
– воздействие на парольно-ключевые системы;
– радиоэлектронное подавление линий связи и систем управления.
Радиоэлектронными способами являются:
– перехват информации в технических каналах ее возможной утечки;
– внедрение
электронных устройств
– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
– воздействие на парольно-ключевые системы;
– радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают:
– невыполнение требований законодательства о задержке в принятии необходимых нормативно-правовых положений в информационной сфере;
– неправомерное
ограничение доступа к
Суть подобных угроз сводится, как правило, к нанесению того или иного ущерба предприятию.
Проявления возможного ущерба могут быть самыми различными:
- моральный и материальный ущерб деловой репутации организации;
- моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
- материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
- материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
- материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
- моральный и материальный ущерб от дезорганизации в работе всего предприятия.
Непосредственный вред от реализованной угрозы, называется воздействием угрозы.
Угрозы безопасности можно классифицировать по следующим признакам:
1. По
цели реализации угрозы. Реализация
той или иной угрозы
– нарушение конфиденциальной информации;
– нарушение целостности информации;
– нарушение (частичное или полное) работоспособности.
2. По
принципу воздействия на
– с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлам данных, каналу связи и т.д.);
– с использованием скрытых каналов.
Под скрытым каналом понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким способом, который нарушает системную политику безопасности.
3. По
характеру воздействия на
По этому критерию различают активное и пассивное воздействие.
Активное
воздействие всегда связано с
выполнением пользователем
Пассивное воздействие осуществляется путем наблюдения пользователем каких- либо побочных эффектов (от работы программы, например) и их анализе. На основе такого рода анализа можно иногда получить довольно интересную информацию.
Примером
пассивного воздействия может служить
прослушивание линии связи
4. По
причине появления
Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты.
Такая ошибка может быть обусловлена одной из следующих причин:
– неадекватностью политики безопасности реальной системе. Это означает, что разработанная политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий;
– ошибками административного управления, под которыми понимается
некорректная реализация или поддержка принятой политики безопасности в данной организации. Например, согласно политике безопасности должен быть запрещен доступ пользователей к определенному набору данных, а на самом деле (по невнимательности администратора безопасности) этот набор данных доступен всем пользователям.
– ошибками в алгоритмах программ, в связях между ними и т.д., которые
возникают на этапе проектирования программы или комплекса программ и благодаря которым их можно использовать совсем не так, как описано в документации. Примером такой ошибки может служить ошибка в программе аутентификации пользователя, когда при помощи определенных действий пользователь имеет возможность войти в систему без пароля.
– ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств.
5. По
способу воздействия на объект
атаки (при активном
– непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например, непосредственный доступ к набору данных, программе, службе, каналу связи и т.д., воспользовавшись какой-либо ошибкой. Такие действия обычно легко предотвратить с помощью средств контроля доступа.
– воздействие на систему разрешений (в том числе захват привилегий). При этом способе несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом.
Примером
может служить захват привилегий,
что позволяет затем
6. По объекту атаки. Одной из самых главных составляющих нарушения функционирования АИС является объект атаки, т.е. компонент системы, который подвергается воздействию со стороны злоумышленника. Определение объекта атаки позволяет принять меры по ликвидации последствий нарушения, восстановлению этого компонента, установке контроля по предупреждению повторных нарушений и т.д.
7. По используемым средствам атаки.
Для воздействия на систему злоумышленник может использовать стандартное программное обеспечение или специально разработанные программы. В первом случае результаты воздействия обычно предсказуемы, так как большинство стандартных программ системы хорошо изучены. Использование специально разработанных программ связано с большими трудностями, но может быть более опасным, поэтому в защищенных системах рекомендуется не допускать добавление программ в АИСЭО без разрешения администратора безопасности системы.
8. По
состоянию объекта атаки.
Объект атаки может находиться в одном из трех состояний:
–хранения –на диске, магнитной ленте, в оперативной памяти или любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа;
–передачи –по линии связи между узлами сети или внутри узла. Воздействие предполагает либо доступ к фрагментам передаваемой информации (например, перехват пакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытых каналов;
–обработки –в тех ситуациях, когда объектом атаки является процесс пользователя.
Подобная классификация показывает сложность определения возможных угроз и способов их реализации. Это еще раз подтверждает тезис, что определить все множество угроз для АИСЭО и способов их реализации не представляется возможным.
2 Принципы построения системы информационной безопасности
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято. В рамках обеспечения информационной безопасности следует рассмотреть на законодательном уровне две группы мер:
- меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
- направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы Российской Федерации.
В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.
В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.
В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».
В Гражданском кодексе РФ вопросам обеспечения информационной
Информация о работе Защита информации в экономических информационных системах