Информационная безопасность в аис

8.Информационная безопасность в аис

8.1.   Понятие информационного пространства, информационной безопасности.

Информационное пространство (инфосфера) — сфера человеческой деятельности, связанная с созданием, преобразованием и потреблением информации и включающая в себя:

· индивидуальное и общественное сознание

· информационные ресурсы, то есть информационную инфраструктуру (комплекс организационных структур, технических средств, программного и другого обеспечения для формирования, хранения, обработки и передачи информации), а также собственно информацию и ее потоки.

Информационное противоборство — форма межгосударственного соперничества, реализуемая посредством оказания информационного воздействия на системы управления других государств и их вооруженных сил, а также на политическое и военное руководство и общество в целом, информационную инфраструктуру и средства массовой информации этих государств для достижения выгодных для себя целей при одновременной защите от аналогичных действий от своего информационного пространства.

Информационная преступность — проведение информационных воздействий на информационное пространство или любой его элемент в противоправных целях. Как ее частный вид может рассматриваться информационный терроризм, то есть деятельность, проводимая в политических целях (27).

Информационное воздействие — акт применения информационного оружия.

Рекомендуемые материалы

Информационное оружие — комплекс технических и других средств, методов и технологий, предназначенных для:

· установления контроля над информационными ресурсами потенциального противника;

· вмешательства в работу его систем управления и информационных сетей, систем связи и т.п. в целях нарушения их работоспособности, вплоть до полного выведения из строя, изъятия, искажения содержащихся в них данных или направленного введения специальной информации;

· распространение выгодной информации и дезинформации в системе формирования общественного мнения и принятия решений.

· а воздействие на сознание и психику политического и военного руководства, личного состава вооруженных сил, спецслужб и населения противостоящего государства, используемых для достижения превосходства над противником или ослабления проводимых им информационных воздействий.

Информационная безопасность включает:

· состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;

· состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;

· состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как секретность, целостность и доступность.

· экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы);

· финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов).

Понятие информационной безопасности в узком смысле этого слова подразумевает:

· надежность работы компьютера;

· сохранность ценных данных;

· защиту информации от внесения в нее изменений неуполномоченными лицами;

· сохранение тайны переписки в электронной связи.

По мнению американских специалистов, снятие защиты информации с компьютерных сетей приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков “лопнут” за 2-5 часов, 50% банков через 2-3 дня.

Конфиденциальность компьютерной информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программистам и т.д.).

Целостность ресурса системы — свойство ресурса быть неизменным в семантическом смысле при функционировании системы.

доступность ресурса системы — свойство ресурса быть доступным для использования авторизированными субъектами системы в любое время.

Безопасность информационной системы достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности ресурсов системы.

Систему обеспечения безопасности информации можно разбить на следующие подсистемы:

· компьютерную безопасность;

· безопасность данных;

· безопасное программное обеспечение;

· безопасность коммуникаций.

Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.

Безопасное программное обеспечение представляет собой общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в отчет на телекоммуникационный запрос.

К объектам информационной безопасности на предприятии относят:

· информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

· средства и системы информатизации — средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

8.2. Виды угроз информационным объектам.

Угрозы безопасности информационным объектам подразделяются на 4 группы:

1. Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки.

2. Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.

3. Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.

4. Угрозы отказа от выполнения транзакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.

Транзакция — это передача сообщений с подтверждением об их передаче и приеме.

Угрозы могут быть обусловлены:

· естественными факторами (стихийные бедствия — пожар, наводнение, ураган, молния и другие причины);

· человеческими факторами, которые в свою очередь подразделяются на:

– пассивные угрозы (угрозы, носящие случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной “утечкой умов”, знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т.п.);

– активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром “мусора”; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной “утечкой умов”, знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам);

· человеко-машинными и машинными факторами, подразделяющимися на:

– пассивные угрозы. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи,

некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

– активные угрозы. Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение носителей информации: дискет, описаний, распечаток и других материалов, просмотр вводимых данных, распечаток, просмотр “мусора”); угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях, визуально-оптические способы добычи информации).

Способы воздействия угроз на информационные объекты подразделяются на:

· информационные;

· программно-математические;

· физические;

· радиоэлектронные;

· организационно-правовые.

К информационным способам относятся:

· нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;

· несанкционированный доступ к информационным ресурсам;

· манипулирование информацией (дезинформация, сокрытие или искажение информации);

· незаконное копирование данных в информационных системах;

· нарушение технологии обработки информации.

· Программно-математические способы включают:

· внедрение компьютерных вирусов;

· установку программных и аппаратных закладных устройств;

· уничтожение или модификацию. данных в автоматизированных информационных системах.

Физические способы включают:

· уничтожение или разрушение средств обработки информации и связи;

· уничтожение, разрушение или хищение машинных или других носителей информации;

· хищение программных или аппаратных ключей и средств криптографической зашиты информации;

· воздействие на персонал;

· поставку “зараженных” компонентов автоматизированных информационных систем.

Радиоэлектронными способами являются:

· перехват информации в технических каналах ее возможной утечки;

· внедрение электронных устройств перехвата информации в технические средства и помещения;

· перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;

· воздействие на парольно-ключевые системы;

· радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

· невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;

· неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Аналогично подразделяются и способы защиты от информационных угроз.

8.3.  Компьютерные вирусы.

Компьютерный вирус — это программный код, встроенный или в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на компьютере.

Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:

· способности к саморазмножению;

· высокой скорости распространения;

· избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);

· наличию в большинстве случаев определенного инкубационного периода.

Компьютерные вирусы подразделяются на:

· программные люки;

· троянские кони;

· логические бомбы;

· файловые вирусы;

· загрузочные вирусы;

· макровирусы.

Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом.

Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим).

Троянским конем называются функции, реализуемые программой, но не описанные в документации.

Человек, знающий эту функцию, может заставить работать программу непредсказуемым для окружающих способом.

Логической бомбой называют участок программы, который реализует некоторые действия при наступлении определенных условий.

Эти условием может быть, например, наступление какой-то даты или появление какого-то имени файла.

Действиями могут быть удаление файла или посылка сообщений.

Файловые вирусы внедряются в:

· –  выполняемые программы — файлы типа ЕХЕ и СОМ (вирус получает управление при запуске зараженной программы);

· –  резидентные модули операционной системы и драйверы устройств с расширением SYS (активация вируса происходит при загрузке операционной системы);

· – объектные файлы и библиотеки, вирус из которых будет встраиваться в написанную пользователем программу при сборке выполняемой программы.

Процесс заражения вирусом программных файлов можно представить следующим образом. В зараженной программе код последней изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-вирусоносителя. При передаче управления вирусу он каким-либо способом находит новую программу и выполняет вставку собственной копии в начало или добавление ее в конец этой, обычно еще не зараженной, программы. Если вирус дописывается в конец программы, то он корректирует код программы, с тем чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально выполняет свои функции. Более изощренные вирусы могут для получения управления изменять системные области накопителя (например, сектор каталога), оставляя длину и содержимое заражаемого файла без изменений.

Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы постоянно находятся в памяти и остаются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы тоже считаются нерезидентными.

Загрузочные вирусы. От файловых вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). На включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.

Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых  макрокоманд.

В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Признаками воздействий вирусов на компьютерную систему служат следующие:

· изменение даты создания и длины файла;

· пропажа файла;

· слишком частые обращения к диску;

· непонятные ошибки;

· “зависание” компьютера;

· самопроизвольная перезагрузка операционной системы;

· замедление работы процессора;

· появление неожиданных графических и звуковых эффектов;

· сообщения антивирусных программ.

Существуют три уровня защиты от компьютерных вирусов:

· предотвращение поступления вирусов;

· предотвращение вирусной атаки, если вирус все-таки поступил на компьютер;

· предотвращение разрушительных последствий, если атака все-таки произошла.

Существуют три метода реализации защиты:

·  программные методы защиты;

·  аппаратные методы защиты;

·  организационные методы защиты.

В вопросе защиты ценных данных часто используют бытовой подход: “болезнь лучше предотвратить, чем лечить”.

Основным средством антивирусной защиты информации является резервное копирование наиболее ценных данных.

При резервировании данных необходимо отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам. Их не следует хранить на компьютере. Обычное место хранения - в сейфе руководителя подразделения.

8.4. Методы и средства защиты информации.

Методами обеспечения зашиты информации на предприятии являются следующие: препятствие и управление доступом; маскировка; регламентация; принуждение и побуждение.

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).

Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

· идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

· аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределах установленного регламента;

· регистрацию обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий).

 Маскировка — метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение — метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Аппаратные средства защиты — это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д.

Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.

Аппаратно-программные средства защиты — средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы.

Криптографические средства — средства защиты с помощью преобразования информации (шифрование).

Организационные средства — организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала.

Законодательные средства — правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил.

Морально-этические средства — нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США.

Существует два подхода к проблеме обеспечения информационной безопасности.

Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенным условиях.

Особенностью системного подхода к защите информации является создание защищенной среды обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Организация подобной защищенной среды позволяет гарантировать определенный уровень безопасности автоматизированной информационной системы.

Системный подход к защите информации базируется на следующих методологических принципах:

· конечной цели — абсолютного приоритета конечной (глобальной) цели;

· единства — совместного рассмотрения системы как целого' и как совокупности частей (элементов);

· связности — рассмотрения любой части системы совместно с ее связями с окружением;

· модульного построения — выделения модулей в системе и рассмотрения ее как совокупности модулей;

· иерархии — введения иерархии частей (элементов) и их ранжирования;

· функциональности — совместного рассмотрения структуры и функции с приоритетом функции над структурой;

· развития — учета изменяемости системы, ее способности к развитию, расширению, замене частей, накапливанию информации;

· децентрализации — сочетания в принимаемых решениях и управлении централизации и децентрализации;

· неопределенности — учета неопределенностей и случайностей в системе.

 Защита информации на предприятии должна строиться по следующим основным направлениям:

1) Защита аппаратуры и носителей информации от похищения, повреждения и уничтожения.

Эта задача — часть общей проблемы защиты имущественных прав организаций. Для борьбы с угрозами этого вида используются традиционные мероприятия:

· физическая охрана и ограничение доступа к аппаратуре и носителям данных;

· ограждение зданий и территорий;

· использование устройств, препятствующих похищению компьютерной аппаратуры, ее компонентов и узлов.

2) Защита информационных ресурсов от несанкционированного использования.

Для этого применяются средства контроля включения питания и загрузки программного обеспечения. Обеспечивает охрану конфиденциальности, целостности и доступности информации и автоматизированных служб системы.

3) Защита от утечки по побочным каналам электромагнитных излучений и наводок.

Реализуется экранированием аппаратуры и помещений, эксплуатацией специальной защищенной аппаратуры, применением маскирующих генераторов шумов и помех, а также проверкой аппаратуры на наличие излучений.

4) Защита информации в каналах связи и узлах коммутации.

Для защиты используются процедуры аутентификации (установления подлинности) абонентов и сообщений, шифрование и специальные протоколы связи.

Ещё посмотрите лекцию "21 Конструктивные и технологические мероприятия, повышающие прочность резьбовых соединений" по этой теме.

5) Защита юридической значимости электронных документов.

При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.

6) Защита автоматизированных систем от компьютерных вирусов и незаконной модификации.

При защите информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 1 тысячу рублей, то тратить 10 тысяч рублей на ее охрану не стоит.

Американский опыт показывает, что защита информации — не только техническая, но и организационная проблема. Фирмы, которые возглавляют дальновидные руководители, решают эти вопросы не на уровне директора по информационным системам, а закрепляют их непосредственно за капитанами бизнеса.

Для того, чтобы не пострадать от деятельности хакера, надо выполнить несколько простых рекомендаций. Так как снять информацию с компьютера, оборудованного системой защиты, может только высококвалифицированный программист-системщик, при приеме на работу особое внимание уделяйте данной категории лиц. Желательна их предварительная проверка. Не допускайте нового специалиста сразу ко всем программам до окончания проверки, даже если это принесет вам некоторые убытки. Если у вас работает несколько программистов-системщиков, постарайтесь разделить их сферы влияния, организуйте работу по сменам, разнообразьте способы доступа к отдельным программам. Поскольку программист — это прежде всего человек, не давайте побудительных мотивов в нанесению вреда вашей фирме. Программист — профессия высокооплачиваемая, его доход не должен быть меньше, чем на фирмах — конкурентах. Кроме того, меры социальной поддержки, моральное стимулирование, в том числе неформальная благодарность от руководства в кругу сослуживцев, благотворно влияют на лояльность к фирме. Стимулируйте у потенциальных хакеров дух творчества, давайте им возможность заработать на стороне за счет разработок игровых и дешевых учебных программ, преподавания в колледжах и вузах.