Автор работы: Пользователь скрыл имя, 11 Мая 2013 в 00:41, курсовая работа
Защита информации может решаться разными методами, но наибольшей надежностью и эффективностью обладают (а для каналов связи являются единственно целесообразными) системы и средства, построенные на базе криптографических методов. В случае использования иных методов большую сложность составляет доказательство достаточности реализованных мер и обоснование надежности системы защиты от несанкционированного доступ
Введение 3
1. Понятие информационных угроз и их виды 4
2. Принципы построения системы информационной безопасности 15
3. Механизмы шифрования 21
4. Организация системы защиты информации экономических систем 24
Заключение 28
Список литературы 29
безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.
Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.
С принятием в 1992 г. Закона Российской Федерации «О правовой охране
программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».
В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.
В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.
В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.
Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, информационных технологий, защите информации и др.
Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации».
Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).
Доктрина информационной безопасности Российской Федерации (далее – Доктрина) утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.
К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 188.
Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах:
- Уставе и/или учредительном договоре;
- коллективном договоре;
- правилах внутреннего трудового распорядка;
- должностных обязанностях сотрудников;
- специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);
- договорах со сторонними организациями;
- трудовых договорах с сотрудниками;
- иных индивидуальных актах.
Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования.
Методы и средства обеспечения безопасности экономического объекта представлены на рис.2.
Рис 2 Методы и средства информационной безопасности экономического объекта
Организационноге обеспечение–
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:
- организационно-
- организационно-технические;
- организационно-экономические.
В табл. изложены организационные мероприятия, обеспечивающие защиту документальной информации
Таблица 1
Обеспечение информационной безопасности организации
Комплекс
организационно-технических
- в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
- в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;
- в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;
- в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;
- в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;
- в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.
3. Механизмы шифрования
Для реализации мер безопасности используются различные механизмы шифрования (криптографии).
Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Сущность
криптографических методов
Готовое
к передаче сообщение - будь то данные,
речь либо графическое изображение
того или иного документа, - обычно
называется открытым, или незащищенным,
текстом (сообщением). В процессе передачи
такого сообщения по незащищенным каналам
связи оно может быть легко
перехвачено или отслежено
Метод преобразования
в криптографической системе
определяется используемым специальным
алгоритмом, действие которого определяется
уникальным числом или битовой
Каждый
используемый ключ может производить
различные шифрованные
Следовательно, надежность любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. Криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивно перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования - другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием внедряются следующие механизмы безопасности:
- цифровая (электронная) подпись;
- контроль доступа;
- обеспечение целостности данных;
- обеспечение аутентификации;
- постановка графика;
- управление маршрутизацией;
- арбитраж или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем - Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.
Механизмы
обеспечения целостности данных
применяются к отдельному блоку
и к потоку данных. Целостность
блока является необходимым, но не достаточным
условием целостности потока и обеспечивается
выполнением взаимосвязанных
Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, во втором случае проверка является взаимной.
Механизмы постановки графика, называемые также механизмами заполнения текста, используются для засекречивания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Тем самым нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам.
Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитраж, что позволяет ему впоследствии подтверждать упомянутые характеристики.
В АИТ при организации безопасности данных используется комбинация нескольких механизмов.
4
Организация системы защиты
Каждую систему защиты следует разрабатывать индивидуально, учитывая следующие особенности:
- организационную структуру организации;
- объем
и характер информационных
- количество
и характер выполняемых
- количество и функциональные обязанности персонала;
- количество и характер клиентов;
- график суточной нагрузки.
Защита должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:
- анализ
риска, заканчивающийся
планов защиты, непрерывной работы и восстановления;
- реализация
системы защиты на основе
- постоянный контроль за работой системы защиты и АИС в целом (программный, системный и административный).
На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.
Для обеспечения непрерывной защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.
Основные этапы построения системы защиты заключаются в следующем:
Анализ -> Разработка системы защиты (планирование) -> Реализация системызащиты -> Сопровождение системы защиты.
Этап анализа возможных угроз АИС необходим для фиксирования на определенный момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.
Информация о работе Защита информации в экономических информационных системах