50237 (Інформаційна безпека економічних систем)

Реферат з теми:

"Інформаційна безпека економічних систем"

Способи і засоби захисту інформації в АІС

Досвід експлуатації існуючих комп'ютерних систем обробки інформації показує, що проблема забезпечення безпеки ще далека від свого рішення, а пропоновані виробниками різних систем засоби захисту сильно розрізняються як за важливість справ і використовуваним методам, так і за досягнутими результатами.

Політика безпеки – сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз.

Модель безпеки – формальне подання політики безпеки.

Дискреційне, або довільне, управління доступом – управління доступом, засноване на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад, в залежності від грифа секретності інформації та рівня допуску користувача.

Ядро безпеки – сукупність апаратних, програмних і спеціальних компонентів обчислювальної системи (ОС), що реалізують функції захисту та забезпечення безпеки.

Ідентифікація – процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів).

Аутентифікація – перевірка достовірності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів.

Адекватність – показник реально забезпечуваного рівня безпеки, що відображає ступінь ефективності та надійності реалізованих засобів захисту та їх відповідності поставленим завданням (в більшості випадків це завдання реалізації політики безпеки).

Кваліфікаційний аналіз, кваліфікація рівня безпеки-аналіз ВС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки.

Таксономія – наука про систематизації та класифікації складноорганізованих об'єктів і явищ, що мають ієрархічну будову.

Таксономія заснована на декомпозиції явищ та поетапному уточнення властивостей об'єктів (ієрархія будується зверху вниз).

Пряма взаємодія – принцип організації інформаційної взаємодії (як правило, між користувачем і системою), який гарантує, що передана інформація не піддається перехопленню чи спотворення.

Захищена система обробки інформації для певних умов експлуатації забезпечує безпеку (доступність, конфіденційність і цілісність) оброблюваної інформації і підтримує свою працездатність в умовах впливу на неї заданої множини загроз.

Захищена система обробки інформації

Під захищеної системою обробки інформації пропонується розуміти систему, яка:

• здійснює автоматизацію деякого процесу обробки конфіденційної інформації, включаючи всі аспекти цього процесу, пов'язані з забезпеченням безпеки оброблюваної інформації;

• успішно протистоїть загрозам безпеки, що діють в певному середовищі;

• відповідає вимогам та критеріям стандартів інформаційної безпеки.

Звідси випливають такі завдання, які необхідно і достатньо вирішити, для того щоб створити захищену систему обробки інформації, а саме:

• в ході автоматизації процесу обробки конфіденційної інформації реалізувати всі аспекти цього процесу, пов'язані з забезпеченням безпеки оброблюваної інформації;

• забезпечити протидію загрозам безпеці, що діють у середовищі експлуатації захищеної системи;

• реалізувати необхідні вимоги відповідних стандартів інформаційної безпеки.

Загрози безпеці комп'ютерних систем

Під загрозою безпеки комп'ютерних систем розуміються впливу на систему, які прямо чи побічно можуть завдати шкоди її безпеки.

Наведемо найбільш загальну класифікацію можливих загроз безпеки. Всі загрози можна розділити по джерелу і характером прояву.

Випадкові загрози виникають незалежно від волі і бажання людей.

Даний тип загроз пов'язаний насамперед з прямим фізичним впливом на елементи комп'ютерної системи (частіше всього природного характеру) і веде до порушення роботи цієї системи та / або фізичного знищення носіїв інформації, засобів обробки та передачі даних, фізичних ліній зв'язку.

Навмисні загрози на відміну від випадкових можуть бути створені тільки людьми та спрямовані саме на дезорганізацію комп'ютерної системи.

Передумови кризової ситуації забезпечення безпеки інформаційних систем

На сучасному етапі існують такі передумови кризової ситуації забезпечення безпеки інформаційних систем (ІС):

• сучасні комп'ютери за останні роки набули великої обчислювальну потужність, але одночасно з цим стали набагато простіше в експлуатації;

• прогрес в області апаратних засобів поєднується з ще більш бурхливим розвитком ПЗ;

• розвиток гнучких і мобільних технологій обробки інформації привело до того, що практично зникає межа між оброблюваними даними та виконуваними програмами за рахунок появи і широкого поширення віртуальних машин і інтерпретаторів;

• невідповідність бурхливого розвитку засобів обробки інформації та повільної опрацювання теорії інформаційної безпеки призвело до появи істотного розриву між теоретичними моделями безпеки, що оперують абстрактними поняттями типу «об'єкт», «суб'єкт» і реальними категоріями сучасних ІТ;

• необхідність створення глобального інформаційного простору та забезпечення безпеки протікають в ньому процесів зажадали розробки міжнародних стандартів, дотримання яких може забезпечити необхідний рівень гарантії забезпечення захисту.

Внаслідок сукупної дії всіх перерахованих факторів перед розробниками сучасних ІС, призначених для обробки конфіденційної інформації, стоять наступні завдання, що вимагають негайного і ефективного вирішення:

• забезпечення безпеки нових типів інформаційних ресурсів;

• організація довіреної взаємодії сторін (взаємної ідентифікації / аутентифікації) в інформаційному пространстве;

• захист від автоматичних засобів нападу;

• інтеграція в якості обов'язкового елемента захисту інформації в процесі автоматизації її обробки.

Під захистом інформації в комп'ютерних системах прийнято розуміти створення і підтримку організованої сукупності засобів, способів, методів і заходів, призначених для попередження спотворення, знищення і несанкціонованого використання інформації, що зберігається та обробляється в електронному вигляді.

Поряд з визначенням поняття «захист інформації» важливим питанням є класифікація наявних способів і засобів захисту, які дозволяють перешкодити забороненого (незаконному) її використання.

Способи захисту інформації в комп'ютерних мережах та засоби, якими вони можуть бути реалізовані

Розглянемо кожен із способів.

Перешкоди передбачають створення перешкод, фізично не допускають до інформації.

Управління доступом – спосіб захисту інформації за рахунок регулювання використання всіх ресурсів системи (технічних, програмних, тимчасових і ін.)

Маскування інформації, як правило, здійснюється шляхом її криптографічного закриття.

Регламентація полягає у реалізації системи організаційних заходів, які визначають всі сторони обробки інформації.

Примус змушує дотримуватись певних правил роботи з інформацією під загрозою матеріальної, адміністративної чи кримінальної відповідальності.

Спонукання засноване на використанні дієвості морально-етичних категорій (наприклад, авторитету чи колективної відповідальності).

Засоби захисту інформації, що зберігається та обробляється в електронному вигляді, поділяють на три самостійні групи: технічні, програмні та соціально-правові.

У свою чергу, серед технічних засобів захисту виділяють фізичні та апаратні.

До фізичних засобів захисту відносяться:

• механічні перешкоди, турнікети (загородження); спеціальне скління;

• сейфи, шафи;

• механічні та електромеханічні замки, в тому числі з дистанційним управлінням;

• замки з кодовим набором;

• датчики різного типу;

• теле-і фотосистеми спостереження і реєстрації;

• СВЧ, ультразвукові, радіолокаційні, лазерні, акустичні системи та ін;

• пристрої маркування;

• пристрої з ідентифікаційними картками;

• пристрої ідентифікації за фізичними ознаками;

• пристрої просторового заземлення;

• системи фізичного контролю доступу;

• системи охоронного телебачення та охоронної сигналізації;

• системи пожежегасіння та оповіщення про пожежу та ін

Під апаратними засобами захисту розуміють технічні пристрої, що вбудовуються безпосередньо в системи (апаратуру) обробки інформації. Найбільш часто використовують:

• регістри зберігання реквізитів захисту (паролів, грифів секретності і т. п.);

• пристрої для вимірювання індивідуальних характеристик людини (наприклад, кольору і будови райдужної оболонки очей, овалу обличчя тощо);

• схеми контролю кордонів адреси імен для визначення законності звернення до відповідних полів (областях) пам'яті і окремими програмами;

• схеми переривання передачі інформації в лінії зв'язку з метою періодичного контролю адрес видачі даних;

• екранування ЕОМ;

• установка генераторів перешкод і ін

Програмні засоби захисту даних в даний час набули значного розвитку. За цільовим призначенням їх можна розділити на декілька великих класів (груп):

• програми ідентифікації користувачів;

• програми визначення прав (повноважень) користувачів (технічних пристроїв);

• програми реєстрації роботи технічних засобів і користувачів (ведення так званого системного журналу);

• програми знищення (затирання) інформації після розв'язання відповідних задач або при порушенні користувачем певних правил обробки інформації;

• криптографічні програми (програми шифрування даних).

Засоби захисту в економічних ІС, у тому числі банківських системах, дозволяють реалізувати наступні функції захисту даних:

• упізнання по ідентифікуючої інформації користувачів і елементів ІС, дозвіл на цій основі роботи з інформацією на певному рівні;

• ведення Багаторозмірні таблиць профілів доступу користувачів до даних;

• управління доступом за профілями повноважень;

• знищення тимчасово фіксованих областей інформації при завершенні її обробки;

• формування протоколів звернень до захищуваних даними з ідентифікацією даних про користувача і тимчасових характеристик;

• програмна підтримка роботи терміналу особи, яка відповідає за безпеку інформації;

• подача сигналів при порушенні правил роботи з системою або правил обробки інформації;

• фізична або програмна блокування можливості роботи користувача при порушенні ним певної послідовності правил або вчинення певних дій;

• підготовка звітів про роботу з різними даними – ведення докладних протоколів роботи та ін

Криптографічні Програма базується на використанні методів шифрування (кодування) інформації. Дані методи залишаються досить надійними засобами її захисту. і більш докладно будуть розглянуті нижче.

У перспективі можна очікувати розвитку програмних засобів захисту за двома основними напрямками:

• створення централізованого ядра безпеки, керуючого всіма засобами захисту інформації в ЕОМ (на першому етапі – в складі ОС, потім – за її межами);

• децентралізація захисту інформації аж до створення окремих засобів, керованих безпосередньо тільки користувачем. У рамках цього напряму знаходять широке застосування методи «естафетної палички» і «паспорти», засновані на попередньому розрахунку спеціальних контрольних кодів (по ділянках контрольованих програм) та їх порівнянні з кодами, які отримуються в результаті виконання завдання.

Організаційні та законодавчі засоби захисту інформації передбачають створення системи нормативно-правових документів, що регламентують порядок розробки, впровадження та експлуатації інформації, а також відповідальність посадових та юридичних осіб за порушення встановлених правил, законів, наказів, стандартів і т. п.

Морально-етичні засоби захисту інформації засновані на використанні моральних та етичних норм, які панують у суспільстві, і вимагають від керівників усіх рангів особливої турботи про створення в колективах здорової моральної атмосфери.

Шифрування інформації

Специфічним способом захисту інформації можна назвати шифрування. Шифрування інформації, що зберігається та обробляється в електронному вигляді, – це нестандартна кодування даних, що виключає або серйозно ускладнює можливість їх прочитання (одержання у відкритому вигляді) без відповідного програмного або апаратного забезпечення і, як правило, вимагає для відкриття даних пред'явлення строго певного ключа (пароля, карти, відбитка і т.д.). Шифрування умовно об'єднує чотири аспекти захисту інформації: керування доступом, реєстрацію і облік, криптографічний захист, забезпечення цілісності інформації. Воно включає в себе безпосереднє шифрування інформації, електронний підпис і контроль доступу до інформації.

Захист даних за допомогою електронного підпису.

Електронний підпис – вставка в дані (додавання) фрагмента чужорідної зашифрованої інформації. Застосовується для ідентифікації автентичності переданих через треті особи документів і довільних даних.

Сама передана інформація при цьому ніяк не захищається, тобто залишається відкритою і доступною для ознайомлення тим особам, через яких вона передається (наприклад, адміністраторам мережі та інспекторам поштових вузлів електронного зв'язку).

Шифрування для забезпечення контролю прав доступу.

Контроль права доступу – простий засіб захисту даних і обмеження використання комп'ютерних ресурсів, призначене для огорожі паролем певної інформації та системних ресурсів ЕОМ від осіб, які не мають до них відношення і не мають спеціального наміру отримати до них доступ або не володіють достатньою для цього кваліфікацією.