Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Защита компьютерной информации - файл 1.doc


Защита компьютерной информации
скачать (102.5 kb.)

Доступные файлы (1):

1.doc103kb.08.12.2011 18:53скачать

Загрузка...

1.doc

Реклама MarketGid:
Загрузка...
План
Введение

  1. Методы и средства защиты информации от несанкционированного доступа

    1. Способы несанкционированного доступа к информации в компьютерных системах и защиты от него

    2. Способы защиты от несанкционированно­го доступа к информации в компьютерных системах

  2. Международные и отечественные правовые и нормативные акты обеспечения информационной безопасности (ИБ) процессов переработки информации

    1. Международные правовые и нормативные акты обеспечения ИБ

    2. Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ

Заключение

Список использованной литературы


Введение
Одним из основных факторов, обеспечивающих присутствие современного государства в рядах членов международного сообщества, оказывающих кардинальное влияние на процесс сохранения стратегической стабильности в мире, является поступательное развитие составляющих его жизнедеятельности, образующих понятие "информационное общество". Следует отметить, что в последнее время в России предпринят ряд мер на данном направлении, что в значительной степени способствовало позитивным изменениям в информационном обеспечении государственной политики.

В этой связи прежде всего следует обратить внимание на развитие инфраструктуры единого информационного пространства Российской Федерации. Российские информационные и телекоммуникационные системы и линии связи во всё возрастающей степени, используя интеграционные возможности, выходят на мировой уровень. При их формировании активно применяются последние достижения в области информационных технологий, широко представленные на отечественном рынке, в рамках которого созданы благоприятные условия для присутствия практически всех ведущих иностранных компаний, действующих в информационной сфере. Современные высокие технологии эффективно используются в деятельности подавляющего большинства организаций и учреждений, государственных органов и частных структур.

1. Методы и средства защиты информации от несанкционированного доступа
1.1. Способы несанкционированного доступа к информации в компьютерных системах и защиты от него
В руководящих документах Гостехкомиссии России приведены следующие основные способы несанкционированного доступа к информации в компьютерных системах (КС):

  • непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользовате­лем программы, читающей данные из файла или записывающей их в него);

  • создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчиком этих средств, так называемых люков);

  • модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);

  • внедрение в технические средства средств вычислительной техники (СВТ) или автоматизированных систем (АС) программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы).

Модель нарушителя в руководящих документах Гостехкомиссии России определяется исходя из следующих предположений:

  • нарушитель имеет доступ к работе со штатными средствами КС;

  • нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).

Можно выделить следующие уровни возможностей нарушите­ля, предоставляемые ему штатными средствами КС (каждый сле­дующий уровень включает в себя предыдущий):

    1. запуск программ из фиксированного набора (например, подготовка документов или получение почтовых сообщений);

    2. создание и запуск собственных программ (возможности опыт­ного пользователя или пользователя с полномочиями отладки программ);

    3. управление функционированием КС – воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);

    4. весь объем возможностей лиц, осуществляющих проекти­рование, реализацию и ремонт средств КС, вплоть до включения в состав КС собственных СВТ с новыми функциями.

С учетом различных уровней возможностей нарушителя выде­ляют следующие вспомогательные способы несанкционирован­ного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:

      • ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС);

      • подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;

      • подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, ра­ботающего в удаленном режиме;

      • выдача себя за легального пользователя с применением похи­щенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей инфор­мации – "маскарад";

      • создание условий для связи по компьютерной сети легально­го пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), – "мистификация";

      • создание условий для возникновения в работе КС сбоев, ко­торые могут повлечь за собой отключение средств защиты инфор­мации или нарушение правил политики безопасности;

      • тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение программных закладок, разрешающих доступ нарушителю.

В соответствии с руководящими документами Гостехкомиссии России основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.

К основным функциям СРД относятся:

  • реализация правил разграничения доступа субъектов и их про­цессов к информации и устройствам создания ее твердых копий;

  • изоляция процессов, выполняемых в интересах субъекта дос­тупа, от других субъектов;

  • управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;

  • реализация правил обмена информацией между субъектами в компьютерных сетях.

К функциям обеспечивающих средств для СРД относятся:

  • идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;

  • регистрация действий субъекта и активизированного им про­цесса;

  • исключение и включение новых субъектов и объектов досту­па, изменение полномочий субъектов;

  • реакция на попытки несанкционированного доступа (сигна­лизация, блокировка, восстановление объекта после несанкцио­нированного доступа);

  • учет выходных печатных форм в КС;

  • контроль целостности программной и информационной час­ти СРД и обеспечивающих ее средств.


1.2. Способы защиты от несанкционированно­го доступа к информации в компьютерных системах
Итак, основными способами защиты от несанкционированно­го доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъек­та к объекту с конфиденциальной информацией) и шифрование информации.

Под протоколом в общем случае понимают конечную последовательность однозначно и точно определенных действий, выполняемых двумя или более сторонами для достижения желаемого результата за конечное время.

Рассмотрим способы аутентификации пользователей в КС, которые можно подразделить на три группы. К первой группе отно­сятся способы аутентификации, основанные на том, что пользо­ватель знает некоторую подтверждающую его подлинность инфор­мацию (парольная аутентификация и аутентификация на основе модели "рукопожатия").

Ко второй группе относятся способы аутентификации, основан­ные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластико­вую карту с идентифицирующей пользователя информацией).

К третьей группе относятся способы аутентификации, осно­ванные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выда­ет (биометрические данные, особенности клавиатурного почерка и росписи мышью и т.п.).

В соответствии с "Оранжевой книгой" (см. 2 пункт данной работы) в защи­щенных КС, начиная с класса С1, должен использоваться хотя бы один из способов аутентификации (например, пароль), а дан­ные аутентификации должны быть защищены от доступа неавто­ризованного пользователя.

В руководящих документах Гостехкомиссии России (см. 2 пункт данной работы) в АС, отнесенных к классу защищенности 1Д, должна осуществляться идентификация и проверка подлинности субъек­тов при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Для клас­сов защищенности 1Г и 1В дополнительно требуется использовать идентификатор (код, логическое имя) пользователя. Для отнесе­ния АС к классу защищенности 1Б дополнительно необходимо использовать пароль временного действия длиной не менее восьми буквенно-цифровых символов. В требованиях к классу защищенности 1А определена необходимость применения пользователями при входе в АС биометрических характеристик или специальных устройств (жетонов, карт, электронных ключей) и пароля временного действия длиной не менее восьми буквенно-цифровых символов.
2. Международные и отечественные правовые и нормативные акты обеспечения информационной безопасности (ИБ) процессов

переработки информации
Законодательные меры по защите процессов переработки ин­формации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструк­ций, регулирующих юридическую ответственность должностных лиц – пользователей и обслуживающего технического персонала – за утечку, потерю или модификацию доверенной ему информа­ции, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей.

Поскольку ИБ должна быть связующим звеном между полити­кой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, выделяя их как общие и для информационной политики.

Таким образом государственная информационная политика должна опираться на следующие базовые принципы:

  • открытость политики (все основные мероприятия информа­ционной политики открыто обсуждаются обществом, государство учитывает общественное мнение);

  • равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятель­ности независимо от их положения в обществе, формы собствен­ности и государственной принадлежности);

  • системность (реализация процессов обеспечения ИБ через государственную систему);

  • приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечествен­ному производителю информационно-коммуникационных средств, продуктов и услуг);

  • социальная ориентация (основные мероприятия государствен­ной информационной политики должны быть направлены на обеспечение социальных интересов граждан России);

  • государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социаль­ной сферы, финансируются преимущественно государством);

  • приоритетность права – законность (развитие и применение правовых и экономических методов имеет приоритет перед любы­ми формами административных решений проблем информацион­ной сферы);

  • сочетание централизованного управления силами и средства­ми обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федера­ции и органам местного самоуправления;

  • интеграция с международными системами обеспечения ИБ.


2.1. Международные правовые и нормативные акты обеспечения ИБ
В международной практике обеспечения ИБ основными направлениями являются:

  • нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и информационных тех­нологий;

  • стандартизация процессов создания безопасных информаци­онных систем.

Так, уже в 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC ("Критерии оценки защищенности надежных систем"), или "Оран­жевую книгу" (по цвету переплета), в которой были определены семь уровней безопасности (А1 – гарантированная защита; B1, В2, ВЗ – полное управление доступом; C1, C2 – избирательное уп­равление доступом, D – минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютер­ных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и
NCSC-TG-011, известные как "Красная книга" (по цвету переплета). В свою оче­редь, Агентство информационной безопасности ФРГ подготови­ло GREEN BOOK ("Зеленая книга"), в которой рассмотрены в комплексе требования к доступности, целостности и конфиден­циальности информации как в государственном, так и в частном секторе.

В 1990 г. "Зеленая книга" была одобрена ФРГ, Великобритани­ей, Францией и Голландией и направлена в Европейский Союз (ЕС), где на ее основе были подготовлены ITSEC ("Критерии оценки защищенности информационных технологий"), или "Бе­лая книга", как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информацион­ных систем и имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность си­стемы, целостность данных, конфиденциальность информации и передачи данных).

В "Белой книге" названы основные компоненты безопасности по критериям ITSEC:

  1. информационная безопасность;

  2. безопасность системы;

  3. безопасность продукта;

  4. угроза безопасности;

  5. набор функций безопасности;

  6. гарантированность безопасности;

  7. общая оценка безопасности;

  8. классы безопасности.

Согласно европейским критериям ITSEC, ИБ включает в себя шесть основных элементов ее детализации:

  1. цели безопасности и функции ИБ;

  2. спецификация функций безопасности:

    • идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе контроля целостности и функции для ограничения количества повторных попыток аутентификации);

    • управление доступом (в том числе функции безопасности, которые обеспечивают временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агреги­рования данных);

    • подотчетность (протоколирование);

    • аудит (независимый контроль);

    • повторное использование объектов;

    • точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));

    • надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения ком­муникационной безопасности, т.е. безопасности данных, передаваемых по каналам связи);

    • обмен данными;

  3. конфиденциальность информации (защита от несанкционированного получения информации);

  4. целостность информации (защита от несанкционированного изменения информации);

  5. доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

  6. описание механизмов безопасности.

Для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сер­вер KERBEROS, а для защиты компьютерных сетей – фильтру­ющие маршрутизаторы, сетевые анализаторы протоколов (экра­ны) типа FireWall/Plas, FireWall-1, пакеты фильтрующих про­грамм и т.д.

Общая оценка безопасности системы по ITSEC состоит из двух компонентов: оценка уровня гарантированной эффективности механизмов (средств) безопасности и оценка уровня их гаранти­рованной корректности. Безопасность системы в целом оценива­ется отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных меха­низмов безопасности (средств защиты).

При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности – их функциональной полнотой и согласованно­стью, простотой использования, а также возможными последстви­ями использования злоумышленниками слабых мест защиты. Кроме того, в понятие "эффективность" включается и способность меха­низмов защиты противостоять прямым атакам, которая называет­ся мощностью механизмов защиты. По ITSEC декларируется три степени мощности: базовая, средняя и высокая. При проверке корректности анализируется правильность и надежность реализа­ции функций безопасности. По ITSEC декларируется семь уров­ней корректности – от Е0 до Е6.

В "Европейских критериях" установлено 10 классов безопасности
(F-C1, F-C2, F-Bl, F-B2, F-B3, F-1N, F-AV, F-D1, F-DC, F-DX). Первые пять классов безопасности аналогичны классам C1, C2, B1, B2, В3 американских критериев TCSEC. Класс F-1N предна­значен для систем с высокими потребностями к обеспечению це­лостности, что типично для СУБД, и различает следующие виды доступа: чтение, запись, добавление, удаление, создание, пере­именование и выделение объектов. Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспо­собности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процесса­ми). Класс F-D1 ориентирован на системы с повышенными требо­ваниями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс
F-DX предназначен для систем с повышенными требованиями одновременно по клас­сам F-D1 и F-DC.
2.2. Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ
К основным задачам в сфере обеспечения и регулирования ИБ РФ относятся следующие:

  • формирование и реализация единой государственной поли­тики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан на информационную деятельность;

  • совершенствование законодательства Российской Федерации в сфере обеспечения ИБ;

  • определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и ор­ганов местного самоуправления в сфере обеспечения ИБ;

  • координация деятельности органов государственной власти по обеспечению ИБ;

  • создание условий для успешного развития негосударственной компоненты в сфере обеспечения ИБ, осуществления эффектив­ного гражданского контроля за деятельностью органов государст­венной власти;

  • совершенствование и защита отечественной информацион­ной инфраструктуры, ускорение развития новых информацион­ных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информа­ции с учетом вхождения России в глобальную информационную инфраструктуру;

  • развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение во всех видах таких систем;

  • развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

  • защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на пред­приятиях оборонного комплекса;

  • духовное возрождение России, обеспечение сохранности и защиты культурного и исторического наследия (в том числе му­зейных, архивных, библиотечных фондов, основных историко-культурных объектов);

  • сохранение традиционных духовных ценностей при важней­шей роли Русской Православной церкви и церквей других кон­фессий;

  • пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

  • повышение роли русского языка как государственного язы­ка и языка межгосударственного общения народов России и государств – членов Содружества Независимых государств (СНГ);

  • создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

  • противодействие угрозе развязывания противоборства в информационной сфере;

  • организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное простран­ство.

Установление стандартов и нормативов в сфере обеспечения ИБ РФ является наиболее важной регулирующей функцией.

Девять государственных стандартов Российской Федерации
(ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92,
ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96) относятся к различным группам по классификатору стандартов и, к сожале­нию, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отноше­ние к области защиты процессов переработки информации.

Комплексный характер защиты процессов переработки информа­ции достигается за счет использования унифицированного алгорит­мического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

  • ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразова­ния";

  • ГОСТ Р 34.10-94 "Информационная технология. Криптогра­фическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма";

  • ГОСТ Р 34.11-94 "Информационная технология. Криптогра­фическая защита информации. Функция хэширования";

  • ГОСТ Р 50739-95 "Средства вычислительной техники. Защитa от несанкционированного доступа к информации. Общие тех­нические требования".

Немаловажное значения для формирования оптимальных схем государственного воздействия на информационные процессы имеет нормативно-правовое обеспечение данной сферы, включающее в себя в качестве одного из краеугольных камней систему лицензирования и сертификации информационных продуктов и услуг, информационных и телекоммуникационных систем, сетей связи и сопутствующих технологий. В этом направлении государством был предпринят целый ряд шагов, которые в своей совокупности привели к созданию законодательного блока, включающего в себя целый ряд нормативных актов, направленных на урегулирование отношений в информационной сфере, многие из которых имеют беспрецедентный для российской законодательной системы характер. К числу важнейших из них следует прежде всего отнести следующие законы: "О государственной тайне", "Об архивном фонде и архивах", "О правовой охране программ для ЭВМ и баз данных", "О правовой охране интегральных схем", "Об информации, информатизации и защите информации", "Об информационном обеспечении экономического развития и предпринимательской деятельности", "О коммерческой тайне", "О статистической информации", "О правовой информации", "О научно-технической информации", "Об участии в международном информационном обмене и контроле за экспортом информационной продукции", "О внесении изменений и дополнений в кодексы РФ об ответственности за правонарушения при работе с информацией", "Об электронно-цифровой подписи".
Заключение
Проблема обеспечения безопасности носит комплексный ха­рактер. Для ее решения необходимо сочетание как правовых мер, так и организационных (например, в компьютерных информаци­онных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, опреде­ляющую общее направление работ, и выделить на эти цели соот­ветствующих ресурсы), и программно-технических (идентифика­ция и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование).

Следует также особо подчеркнуть, что обеспечение защиты информации не может носить характер одноразовой акции. Это непрерывный процесс, заключающийся в разработке и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле её состояния, выявлении узких и слабых мест, являющихся потенциальным каналом для осуществления противоправных действий. Надёжный заслон на пути несанкционированного доступа к информационным ресурсам информации может быть обеспечен лишь за счёт комплексного использования всего арсенала имеющихся средств защиты на всех этапах технологического цикла обработки информации. Наибольший эффект достигается лишь в том случае, когда все используемые средства, методы и меры объединяются в единый целостный механизм, представляющий собой интегрированную систему защиты информации. Функционирование системы должно контролироваться, модернизироваться и изменяться в зависимости от состояния внешних и внутренних условий. При этом не следует забывать, что никакая система не может обеспечить должный уровень защиты без соответствующей подготовки пользователей и соблюдения ими всех установленных правил использования информационных ресурсов. Иными словами, система обеспечения информационной безопасности должна представлять собой чётко структурированную совокупность административных органов, научных учреждений федерального подчинения и соответствующих подразделений частных и государственных предприятий, обеспечивающих распространение и внедрение передовых средств, технологий и методов защиты информации от внутренних и внешних угроз.

В завершение хотелось бы отметить, что непременным условием роста информационного потенциала страны является осуществление решительных действий государства на трёх основных направлениях: создание единого информационного ресурса страны путем объединения общественно значимых информационных ресурсов стратегически важных субъектов управления, хозяйствования, сферы науки и т.п. в единое целое на базе современных систем связи и телекоммуникаций; совершенствование и развитие национальной информационной инфраструктуры; осуществление государственного контроля и управления созданием общественно важных информационных ресурсов, систем связи и телекоммуникаций.


Список использованной литературы


  1. Малышенко Д.Г. Современное состояние и перспективы укрепления информационной безопасности. – М.: ВНИИ МВД России, 2004.

  2. Мельников В.П. Информационная безопасность и защита информации. – М.: "Академия", 2007.

  3. Хореев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: "Академия", 2005.



Скачать файл (102.5 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru