Logo GenDocs.ru


Поиск по сайту:  


Власова Л.А. Защита информации - файл 1.doc


Власова Л.А. Защита информации
скачать (774 kb.)

Доступные файлы (1):

1.doc774kb.09.12.2011 06:19скачать

содержание

1.doc

  1   2   3   4   5   6   7   8   9   ...   16
Реклама MarketGid:
Министерство образования и науки Российской Федерации
Федеральное агентство по образованию
Государственное образовательное учреждение высшего

профессионального образования
"Хабаровская государственная академия экономики и права"
Кафедра информационных технологий


Л.А. Власова
ЗАЩИТА ИНФОРМАЦИИ

Учебное пособие


Хабаровск 2007

ББК У.В6

Х 12
ЗАЩИТА ИНФОРМАЦИИ : учебное пособие для студентов 1–4-го курсов всех специальностей и форм обучения / сост. Л. А. Власова. – Хабаровск : РИЦ ХГАЭП, 2007. – 84 с.

Рецензенты: Д. В.Тимошенко, канд. техн. наук, ст. преподаватель

кафедры ДВС ТОГУ

С. В. Соловьёв, д. физ.-мат. наук, проф. каф ПМиИ ТОГУ

Учебное пособие содержит материал по одному из разделов дисциплин «Информационные системы в экономике» и «Информационные технологии в экономике», посвящённый вопросам информационной безопасности и защиты данных в информационно-вычислительных системах и сетях.

Цель издания – рассмотреть необходимые теоретические сведения об угрозах безопасности, средствах и методах защиты информации в компьютерных системах и сетях.

Пособие предназначено для студентов 1–4-го курсов всех специальностей ХГАЭП.
Утверждено ИБС академии в качестве учебного пособия

для студентов 1–4-го курсов всех специальностей и форм обучения
Учебное издание

Людмила Александровна Власова
^ ЗАЩИТА ИНФОРМАЦИИ
Учебное пособие


Редактор Г.С. Одинцова

_____________________________________________________________________

Подписано к печати Формат 60х84/16.

Бумага писчая. Офсетная печать. Усл. печ. л. 4,9. Уч.-изд. л. 3,5.

Тираж 200 экз. Заказ № ______

680042, г. Хабаровск, ул. Тихоокеанская, 134, ХГАЭП, РИЦ
© Хабаровская государственная академия экономики и права, 2007

^

1. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Актуальность проблемы обеспечения информационной

безопасности



Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы народного хозяйства.

По мере развития и усложнения средств, методов, форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:

  • резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

  • высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых различных сферах деятельности;

  • резкое увеличение объёмов информации, накапливаемой, хранимой на электронных носителях (в виде электронных документов) и обрабатываемой с помощью компьютеров;

  • концентрация информации – сосредоточение в единых базах данных информации различного назначения и различной принадлежности;

  • бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;

  • резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

  • демократизация доступа к информации, обусловленная развитием компьютерных сетей как локальных, так и глобальных;

  • развитие электронной почты и рост электронного документооборота в компьютерных сетях;

  • внедрение электронных технологий в различные виды профессиональной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);

  • развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.



^

1.2. Принципы обеспечения информационной безопасности в автоматизированных системах


В современном мире обработка информации производится с помощью автоматизированных информационных (компьютерных) систем. Автоматизированная система (АС) должна удовлетворять потребностям эксплуатирующих её лиц, т. е. обеспечивать конфиденциальность, целостность, доступность и другие необходимые качества информации:

  • конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации;

  • целостность – существование информации в неискажённом виде (неизменном по отношению к некоторому её фиксированному исходному состоянию). То есть гарантия того, что при её хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией;

  • доступность информации – свойство данных быть доступными для санкционированного использования в произвольный момент времени, когда в обращении к ним возникает необходимость. Вследствие нарушения этой категории информации может стать временно недоступной либо произойдёт её потеря (информация недоступна постоянно);

  • аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как её автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения;

  • апеллируемость (неотрекаемость) – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек и не может являться никто другой. Отличие этой категории от предыдущей в том, что при подмене автора кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении автоматизированных информационных систем как программно-аппаратных комплексов применяются иные категории:

  • надёжность – гарантия того, что система ведёт себя в нормальном и внештатном режимам так, как запланировано;

  • точность – гарантия точного и полного выполнения всех команд;

  • контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам и эти ограничения доступа постоянно выполняются;

  • контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса АС;

  • контроль идентификации – гарантия того, что пользователь, подключённый в данный момент к системе, является именно тем, за кого себя выдает;

  • устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее;

  • доступность – гарантия того, что будет получен своевременный доступ ко всем необходимым компонентам и ресурсам системы.

Гостехкомиссией определены основные принципы информационной безопасности в АС:

  • системность;

  • комплексность;

  • непрерывность защиты;

  • разумная достаточность;

  • гибкость управления и применения;

  • открытость алгоритмов и механизмов защиты;

  • простота применения защитных мер и средств.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:

  • при всех видах информационной деятельности, формах и проявлениях информации;

  • для всех структурных элементов;

  • во всех режимах функционирования;

  • на всех этапах жизненного цикла;

  • с учётом взаимодействия объекта защиты с внешней средой.

При обеспечении информационной безопасности АС необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределённые системы и несанкционированного доступа к информации. Система защиты должна строиться не только с учётом всех известных каналов проникновения, но и с учётом возможности появления принципиально новых путей реализации угроз безопасности.

^ Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. В частности, современные средства вычислительной техники, операционные системы (ОС), инструментальные и прикладные программные средства обладают определёнными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов.

^ Принцип непрерывности защиты

Защита информации – это не разовое мероприятие и даже не конкретная совокупность уже проведённых мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС (начиная с самых ранних стадий проектирования, а не только на этапе её эксплуатации). Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счёте позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищённые системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка: своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления её функционирования.

^ Разумная достаточность

Создать абсолютно непреодолимую систему защиты принципиально невозможно: при достаточном количестве времени и средств можно преодолеть любую защиту. Например, средства криптографической защиты в большинстве случаев не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность информации при использовании для дешифрования современных вычислительных средств в течение приемлемого для защищающейся стороны времени. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

^ Гибкость системы защиты

Часто приходится создавать систему защиты в условиях большой неопределённости. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищённости средства защиты должны обладать определённой гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на уже работающую систему, не нарушая процесс её нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельца АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

^ Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счёт секретности структурной организации и алгоритмов функционирования её подсистем. Знание алгоритма работы системы защиты не должно давать возможности её преодоления (даже автору). Однако это совсем не означает, что информация о конкретной системе должна быть общедоступна – необходимо обеспечить защиту от угрозы раскрытия параметров системы.

^ Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей, имен).

^ Комплексное обеспечение информационной безопасности автоматизированных систем – область науки и техники, охватывающая совокупность криптографических, программно-аппаратных, технических, правовых, организационных методов и средств обеспечения безопасности информации при её обработке, хранении и передаче с использованием современных информационных

технологий.

Во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому надёжность работы компьютерных систем во многом опирается на меры самозащиты.
  1   2   3   4   5   6   7   8   9   ...   16

Реклама:





Скачать файл (774 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru