Главная Ошибки

Три важнейших аспекта информационной безопасности. Основы иб. Информационная безопасность и ее составляющие

Алтайский государственный университет >>

Михайловский филиал

По теме: Информационная безопасность

Выполнил:

Студент 1 курса 711 гр.

Сальников Д.А.

Проверил:

Григорович В.А.

с. Михайловское

Введение ………………………………………………………………………………3

1. Понятие информационной безопасности …………………………………....4

………………………...4

3 . Обеспечение информационной безопасности . ………………………………7

4.Аппаратно-программные средства защиты информации ….…………….9

4.1.Системы идентификации и аутентификации пользователей. …………..10

4.2. Методы обеспечения информационной безопасности……….………….11

4.3. Системы шифрования данных, передаваемых по сетям…………………12

4.4.Системы аутентификации электронных данных…………………………13

4.5. Средства управления криптографическими ключами…………………...14

Заключение ………………………………………………………………………….16

Список литературы ……………………………………….......................................17

Введение

Широкое распространение вычислительной техники как средства обработки информации привело к информатизации общества и появлению принципиально новых, так называемых, информационных технологий.

Появление любых новых технологий, как правило, имеет как положительные, так и отрицательные стороны. Тому множество примеров. Атомные и химические технологи, решая проблемы энергетики и производства новых материалов, породили экологические проблемы. Интенсивное развитие транспорта обеспечило быструю и удобную доставку людей, сырья, материалов и товаров в нужных направлениях, но и материальный ущерб и человеческие жертвы при транспортных катастрофах возросли.

Информационные технологии, также не являются исключением из этого правила, и поэтому следует заранее позаботиться о безопасности при разработке и использовании таких технологий.

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

    Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

Доступность (возможность за разумное время получить требуемую информационную услугу);

Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

Конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

2. Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

Аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

Программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

Данные,хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

Персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

Аварийные ситуации из-за стихийных бедствий и отключений электропитания;

Отказы и сбои аппаратуры;

Ошибки в программном обеспечении;

Ошибки в работе персонала;

Помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

Недовольством служащего своей карьерой;

Взяткой;

Любопытством;

Конкурентной борьбой;

Стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

Квалификация нарушителя на уровне разработчика данной системы;

Нарушителем может быть как постороннее лицо, так и законный пользователь системы;

Нарушителю известна информация о принципах работы системы;

нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

Хищение носителей информации;

Чтение информации с экрана или клавиатуры;

Чтение информации из распечатки.

Через программу:

Перехват паролей;

Дешифровка зашифрованной информации;

Копирование информации с носителя.

Через аппаратуру:

Подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

Перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

3. Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

1.законодательный (законы, нормативные акты, стандарты и т.п.);

2.морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);

3.административный (действия общего характера, предпринимаемые руководством организации);

4.физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);

5.аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.

Надежная система защиты должна соответствовать следующим принципам:

Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.

Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.

Защита тем более эффективна, чем проще пользователю с ней работать.

Возможность отключения в экстренных случаях.

Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать. Под защитой должна находиться вся система обработки информации.

Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать. Система защиты должна предоставлять доказательства корректности своей работы.

Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.

Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.

Надежная система защиты должна быть полностью протестирована и согласована.

Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.

Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.

Наиболее важные и критические решения должны приниматься человеком.

Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

4. Аппаратно-программные средства защиты информации

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.

Аппаратно-программные средства защиты информации можно разбить на пять групп:

1.Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.

2.Системы шифрования дисковых данных.

3.Системы шифрования данных, передаваемых по сетям.

4.Системы аутентификации электронных данных.

5.Средства управления криптографическими ключами.

4. 1. Системы идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

Секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;

Физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.

4. 2. Системы шифрования дисковых данных

Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией (от греч. kryptos - скрытый и grapho – пишу).

Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt. Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса:

Системы "прозрачного" шифрования;

Системы, специально вызываемые для осуществления шифрования.

В системах прозрачного шифрования (шифрования "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.

Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.

4. 3.Системы шифрования данных, передаваемых по сетям

Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки:

шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);

шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.

оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.

4. 4.Системы аутентификации электронных данных

При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.

Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.

4. 5. Средства управления криптографическими ключами

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

С помощью прямого обмена сеансовыми ключами;

Используя один или несколько центров распределения ключей.

Заключение

Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб. Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам. В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации. Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др. Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.

Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,

Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.

Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.

Список литературы

1. Информационная безопасность - http://protect.htmlweb.ru

2. Информационная безопасность - http://wikipedia.org

3. Фигурнов В.Э. "IBM РС для пользователя".

4. Информационная безопасность и защита информации. Учебное пособие – М.: 2004 – 82 c. http://bezopasnik.org›article/book/23.pdf

безопасность как "состояние защищенности информационной среды общества, обеспечивающее...

Проблема обеспечения информационной безопасности носит комплексный характер. По нашему мнению, для того чтобы более полно и системно изложить международно-правовые вопросы в сфере обеспечения информационной безопасности государства и предложить пути их решения, необходимо начать рассмотрение этой проблемы с определения основных аспектов информационной безопасности.

В проблеме информационной безопасности можно выделить два основных аспекта.

Первый аспект включает в себя спектр вопросов, относящихся к информации и к ее содержанию. Это прежде всего вопросы характера распространяемых сведений, их соответствия определенным правилам, и прежде всего принципам международного права, вопросы получения информации различными способами и т.д.

Второй аспект включает в себя круг вопросов, относящихся к средствам сбора, накопления, обработки, хранения и передачи информации. К этим средствам относятся прежде всего вычислительная техника (компьютеры), информационно-телекоммуникационные сети, другие технические средства, обеспечивающие сбор, накопление, обработку, хранение и передачу информации. Проблема обеспечения функционирования указанных средств в современном мире перестает быть исключительно технической проблемой. В настоящее время общепризнано, что быстрое и устойчивое развитие государства невозможно без широкого использования информационных технологий и средств обработки информации. Объективной реальностью в современном мире стало то, что критически важные для функционирования государства структуры, такие как транспорт, энергоснабжение, кредитно-финансовая сфера, связь, система обороны, правоохранительные органы, все более полагаются в своей деятельности на информационные технологии и средства обработки информации, которые должны обеспечивать такие свойства обрабатываемой ими информации, как целостность, объективность, доступность и, в необходимых случаях, конфиденциальность.

Таким образом, обеспечение надлежащего функционирования указанных средств становится проблемой социальной, а следовательно требующей соответствующего правового регулирования.

Два обозначенных выше аспекта информационной безопасности можно обнаружить во всех проблемах обеспечения информационной безопасности. Выделение этих аспектов необходимо потому, что они отражают две различные сферы общественных отношений, которые требуют установления различных правовых режимов. Смешение этих аспектов приводиг к тому, что возникают затруднения в определении понятий, в их разграничении, в разработке предложений по правовому регулированию проблем обеспечения информационной безопасности.

Разумеется, что информационная безопасность имеет еще очень много аспектов, так как безопасность сама по себе явление системное, многоуровневое и в тоже время целостное3. Но, на наш взгляд, большинство проблем в сфере информационной безопасности включается в указанные два аспекта, а в случае рассмотрения вопроса международно- правового регулирования, выделение этих аспектов еще более оправдано, так как, и это будет показано далее, исторически обусловлено развитием международного права в сфере информационных отношений.

Еще по теме /./. Основные аспекты информационной безопасности.:

  1. 1.2. Информацияf Безопасность, Информационная безопасность. Определение понятий.
  2. 1.3. Эволюция международно-правового регулирования информационных отношений с точки зрения обеспечения информационной безопасности.
  3. 2.1. Решение вопросов информационной безопасности действующим международным правом
  4. 2.2. Вопросы информационной безопасности и информационных отношений и деятельность международных организаций на современном этапе.

Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

  • доступность (возможность за разумное время получить требуемую информационную услугу);
  • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
  • конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

  • аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
  • программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
  • данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
  • персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

  • аварийные ситуации из-за стихийных бедствий и отключений электропитания;
  • отказы и сбои аппаратуры;
  • ошибки в программном обеспечении;
  • ошибки в работе персонала;
  • помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

  • недовольством служащего своей карьерой;
  • взяткой;
  • любопытством;
  • конкурентной борьбой;
  • стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

  • квалификация нарушителя на уровне разработчика данной системы;
  • нарушителем может быть как постороннее лицо, так и законный пользователь системы;
  • нарушителю известна информация о принципах работы системы;
  • нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

  • Через человека:
    • хищение носителей информации;
    • чтение информации с экрана или клавиатуры;
    • чтение информации из распечатки.
  • Через программу:
    • перехват паролей;
    • дешифровка зашифрованной информации;
    • копирование информации с носителя.
  • Через аппаратуру:
    • подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
    • перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки . Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

  1. законодательный (законы, нормативные акты, стандарты и т.п.);
  2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
  3. административный (действия общего характера, предпринимаемые руководством организации);
  4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
  5. аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты .

Надежная система защиты должна соответствовать следующим принципам:

  • Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
  • Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
  • Защита тем более эффективна, чем проще пользователю с ней работать.
  • Возможность отключения в экстренных случаях.
  • Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
  • Под защитой должна находиться вся система обработки информации.
  • Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
  • Система защиты должна предоставлять доказательства корректности своей работы.
  • Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
  • Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
  • Надежная система защиты должна быть полностью протестирована и согласована.
  • Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
  • Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
  • Наиболее важные и критические решения должны приниматься человеком.
  • Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

Аппаратно-программные средства защиты информации

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.

Аппаратно-программные средства защиты информации можно разбить на пять групп:

  1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
  2. Системы шифрования дисковых данных.
  3. Системы шифрования данных, передаваемых по сетям.
  4. Системы аутентификации электронных данных.
  5. Средства управления криптографическими ключами.

1. Системы идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

  • секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
  • физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, основанные на первом типе информации, считаются традиционными . Системы, использующие второй тип информации, называют биометрическими . Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.

2. Системы шифрования дисковых данных

Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos - скрытый и grapho - пишу].

Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.

Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса:

  • системы "прозрачного" шифрования;
  • системы, специально вызываемые для осуществления шифрования.

В системах прозрачного шифрования (шифрования "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.

Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.

3. Системы шифрования данных, передаваемых по сетям

Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки:

  • шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);
  • шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.

Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.

4. Системы аутентификации электронных данных

При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.

Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.

5. Средства управления криптографическими ключами

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

  • с помощью прямого обмена сеансовыми ключами;
  • используя один или несколько центров распределения ключей.

Перечень документов

  1. О ГОСУДАРСТВЕННОЙ ТАЙНЕ. Закон Российской Федерации от 21 июля 1993 года № 5485-1 (в ред. Федерального закона от 6 октября 1997 года № 131-ФЗ).
  2. ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон Российской Федерации от 20 февраля 1995 года № 24-ФЗ. Принят Государственной Думой 25 января 1995 года.
  3. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон Российской Федерации от 23 фентября 1992 года № 3524-1.
  4. ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Федеральный закон Российской Федерации от 10 января 2002 года № 1-ФЗ.
  5. ОБ АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ. Закон Российской Федерации от 9 июля 1993 года № 5351-1.
  6. О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ. Закон Российской Федерации (в ред. Указа Президента РФ от 24.12.1993 № 2288; Федерального закона от 07.11.2000 № 135-ФЗ.
  7. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации.
  8. Инструкция о порядке маркирования сертификатов соответствия, их копий и сертификационных средств защиты информации / Государственная техническая комиссия при Президенте Российской Федерации.
  9. Положение по аттестации объектов информатизации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации.
  10. Положение о сертификации средств защиты информации по требованиям безопасности информации: с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня 1995 года № 608 "О сертификации средств защиты информации" / Государственная техническая комиссия при Президенте Российской Федерации.
  11. Положение о государственном лицензировании деятельности в области защиты информации / Государственная техническая комиссия при Президенте Российской Федерации.
  12. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  13. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  14. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  15. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  16. Защита информации. Специальные защитные знаки. Классификация и общие требования: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  17. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.

Итоговый тест по предмету «Информатика и ИКТ»

Тема «Информационная безопасность»

I .Утечка информации
1) несанкционированное изменение информации, корректное по форме, содержанию, но отличное по смыслу
2) ознакомление постороннего лица с содержанием секретной информации
3) потеря, хищение, разрушение или неполучение переданных данных

II . Под изоляцией и разделением (требование к обеспечению ИБ) понимают
1) разделение информации на группы так, чтобы нарушение одной группы информации не влияло на безопасность других групп информации (документов)
2) разделение объектов защиты на группы так, чтобы нарушение защиты одной группы не влияло на безопасность других групп

III . К аспектам ИБ относятся
1) дискретность
2) целостность
3) конфиденциальность
4) актуальность
5) доступность

IV . Линейное шифрование -
Выберите один из 3 вариантов ответа:
1) несанкционированное изменение информации, корректное по форме и содержанию, но отличное по смыслу
2) криптографическое преобразование информации при ее передаче по прямым каналам связи от одного элемента ВС к другому
3) криптографическое преобразование информации в целях ее защиты от ознакомления и модификации посторонними лицами

V . Угроза - это
Выберите один из 2 вариантов ответа:
1) возможное событие, действие, процесс или явление, которое может привести к ущербу чьих-либо интересов
2) событие, действие, процесс или явление, которое приводит к ущербу чьих-либо интересов

VI . Под ИБ понимают
Выберите один из 3 вариантов ответа:
1) защиту от несанкционированного доступа
2) защиту информации от случайных и преднамеренных воздействий естественного и иc скуственного характера
3) защиту информации от компьютерных вирусов

VII . Что такое криптография?
Выберите один из 3 вариантов ответа:
1) метод специального преобразования информации, с целью защиты от ознакомления и модификации посторонним лицом
2) область доступной информации
3) область тайной связи, с целью защиты от ознакомления и модификации посторонним лицом
VIII . Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации называется
1) кодируемой
2) шифруемой
3) недостоверной
4) защищаемой

IX . Абстрактное содержание какого-либо высказывания, описание, указание, сообщение либо известие - это

Выберите один из 4 вариантов ответа:
1) текст
2) данные
3) информация
4) пароль

X . Организационные угрозы подразделяются на
1) угрозы воздействия на персонал
2) физические угрозы
3) действия персонала
4) несанкционированный доступ

XI . Виды технической разведки (по месту размещения аппаратуры)
Выберите несколько из 7 вариантов ответа:
1) космическая
2) оптическая
3) наземная
4) фотографическая
5) морская
6) воздушная
7) магнитометрическая

XII . Основные группы технических средств ведения разведки
Выберите несколько из 5 вариантов ответа:
1) радиомикрофоны
2) фотоаппараты
3) электронные "уши"
4) дистанционное прослушивание разговоров
5) системы определения местоположения контролируемого объекта

XIII . Разновидности угроз безопасности
1) техническая разведка
2) программные
3) программно-математичекие
4) организационные
5) технические
6) физические

XIV . Потенциально возможное событие, действие, процесс или явление, которое может причинить ущерб чьих-нибудь данных, называется
Выберите один из 4 вариантов ответа:
1) угрозой;
2) опасностью;
3) намерением;
4) предостережением.

XV . Из каких компонентов состоит программное обеспечение любой универсальной компьютерной системы?
Выберите один из 4 вариантов ответа:
1) операционной системы, сетевого программного обеспечения
2) операционной системы, сетевого программного обеспечения и системы управления базами данных;
3) операционной системы, системы управления базами данных;
4) сетевого программного обеспечения и системы управления базами данных.

XVI . Комплекс мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объектам защиты называется
Выберите один из 4 вариантов ответа:
1) системой угроз;
2) системой защиты;
3) системой безопасности;
4) системой уничтожения.

XVII . К видам защиты информации относятся:
Выберите несколько из 4 вариантов ответа:
1) правовые и законодательные:
2) морально-этические;
3) юридические;
4) административно-организационные;

XVIII . К методам защиты от НСД относятся
Выберите несколько из 5 вариантов ответа:
1) разделение доступа;
2) разграничение доступа;
3) увеличение доступа;
4) ограничение доступа.
5) аутентификация и идентификация

XIX . Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности называется
Выберите один из 4 вариантов ответа:
1) политикой информации
2) защитой информации
3) политикой безопасности
4) организацией безопасности

XX . Выделите группы, на которые делятся средства защиты информации:
Выберите один из 3 вариантов ответа:
1) физические, аппаратные, программные, криптографические, комбинированные;
2) химические, аппаратные, программные, криптографические, комбинированные;
3) физические, аппаратные, программные, этнографические, комбинированные;

XXI . Какие законы существуют в России в области компьютерного права?
Выберите несколько из 6 вариантов ответа:
1) О государственной тайне
2) об авторском праве и смежных правах
3) о гражданском долге
4) о правовой охране программ для ЭВМ и БД
5) о правовой ответственности
6) об информации, информатизации, защищенности информации

XXII . В чем заключается основная причина потерь информации, связанной с ПК?
Выберите один из 3 вариантов ответа:
1) с глобальным хищением информации
2) с появлением интернета
3) с недостаточной образованностью в области безопасности

XXIII .Что такое несанкционированный доступ (нсд)?
1) Доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа
2) Создание резервных копий в организации
3) Правила и положения, выработанные в организации для обхода парольной защиты
4) Вход в систему без согласования с руководителем организации
5) Удаление не нужной информации

XXIV . Что такое аутентификация?
Выберите один из 5 вариантов ответа:
1) Проверка количества переданной и принятой информации
2) Нахождение файлов, которые изменены в информационной системе несанкционированно
3) Проверка подлинности идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа).
4) Определение файлов, из которых удалена служебная информация
5) Определение файлов, из которых удалена служебная информация

XXV . Кодирование информации -
Выберите один из 2 вариантов ответа:
1) представление информации в виде условных сигналов с целью автоматизации ее хранения, обработки, передачи и т.д.
2) метод специального преобразования информации, с целью защиты от ознакомления и модификации посторонним лицом

Таблица правильных ответов

№ вопроса

№ правильных ответов

2 ,3,5

VIII

XIII

XVII

XVIII

XXII

XXIII

XXIV

Технологическая революция в области информации, начавшаяся в последней трети ХХ века и продолжающаяся до сих пор, определила появление таких явлений как «информационные войны» и «информационный терроризм». Поэтому важное место в политике национальной безопасности в настоящее время занимает информационная безопасность.

Технологическая революция в области информации связана, прежде всего, с развитием кибернетики, которое привело к созданию информационных систем управления. Вслед за этим повсеместно в массовом порядке стали внедряться персональные компьютеры, что в свою очередь повлекло за собой ускоренные темп развития телекоммуникационных технологий. Затем персональные компьютеры стали объединять в компьютерные сети, вначале локальные, а затем и глобальные. Одновременно с колоссальным ростом популярности Интернета возникает беспрецедентная опасность разглашения персональных данных, критически важных корпоративных ресурсов. Повышение информационной безопасности становится неотложной задачей, решения которой в равной мере требуют и конечные пользователи, и компании .

Информация превратилась в одно из важнейших средств воздействия на общественные отношения, стала одним из ценнейших товаров. Особенной защиты требует такой «нематериальный» товар как информация. Именно поэтому информационная безопасность в настоящее время является одной из самых развивающихся областей современной науки. Это в равной степени относится как к технической, так и правовой стороне вопроса, касающегося информационной безопасности.

Существует довольно много определений понятия «безопасность». Чаще всего безопасность трактуют как такое состояние, когда нет опасности, т.е. «факторов и условий, угрожающих существованию непосредственно индивиду или его сообществу в форме семьи, населенного пункта или государства» . Безопасность довольно часто трактуется как способность объекта сохранять при наличии деструктивных, внешних и/или внутренних воздействий свои важнейшие, системообразующие свойства, основные характеристики и параметры, потеря которых может привести к тому, что объект утрачивает свою сущность, перестает быть самим собой .

Информационная безопасность -- состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.

Понятие «информационная безопасность» взаимосвязано с понятием «безопасность информации». Довольно часто их используют как синонимы. Но, как известно, «безопасность» не существует сама по себе, безотносительно к объекту, «без определения объекта понятие «безопасность» является неопределенным, лишенным внутреннего смысла» . Выбор объекта безопасности предопределяет содержание понятия «безопасность». Поэтому, если в качестве объекта защиты выступает собственно информация, то понятия «информационная безопасность» и «безопасность информации» действительно становятся синонимами. Но, если в качестве объекта защиты рассматривается некий объект (субъект) -- участник информационных отношений, то слово »информационная» в термине «информационная безопасность» указывает на направление деятельности, посредством которой может быть причинен вред объекту защиты и понятие »информационная безопасность» в этом случае следует трактовать как состояние защищенности данного объекта от угроз информационного характера. С.П. Расторгуев (доктор технических наук, действительный член РАЕН, МАИ, АСПН и др., профессор Московского государственного университета им. М. В. Ломоносова.), характеризуя современное состояние проблемы, пишет: «В результате проблема защиты информации, которая ранее была как никогда актуальна, перевернулась подобно монете, что вызвало к жизни ее противоположность -- защиту от информации. Теперь уже саму информационную систему и, в первую очередь человека,- необходимо защищать от поступающей «на вход» информации, потому что любая поступающая на вход самообучающейся системы информация неизбежно изменяет систему. Целенаправленное же деструктивное информационное воздействие может привести систему к необратимым изменениям и, при определенных условиях, к самоуничтожению» .

В нашей стране основное внимание общественности сконцентрировано исключительно на проблеме защиты информации. Такое положение сложилось в силу многих обстоятельств. В первую очередь, это обусловлено очевидностью. Информация стала товаром, а товар нужно защищать. Значительно реже безопасность информации рассматривается с точки зрения изначальной полноты и надежности информации.

Информационная безопасность включает три составляющие:

  • - удовлетворение информационных потребностей субъектов;
  • - обеспечение безопасности информации;
  • - обеспечение защиты субъектов информационных отношений от негативного информационного воздействия.

Последние материалы раздела:

Как зайти в BIOS или UEFI на ноутбуке Acer
Как зайти в BIOS или UEFI на ноутбуке Acer

Если ноутбук стал заметно тормозить или операционная система при включении устройства загружается намного медленнее, чем обычно (а то и вовсе не...

Как свернуть игру: все способы в одном месте
Как свернуть игру: все способы в одном месте

Папки и приложения на любом ПК открываются в окнах. Предусматриваются для них такие стандартные команды, как: закрыть, свернуть, развернуть или...

Бесплатная лечащая утилита доктор веб для лечения вашего компьютера
Бесплатная лечащая утилита доктор веб для лечения вашего компьютера

Dr Web CureIt! - антивирусная лечащая утилита от известного производителя антивирусного программного обеспечения, российской компании «Доктор Веб»....