Методы и средства защиты информации

Размещено на http://www.allbest.ru/

Методы и средства защиты информации

В современных экономических информационных системах используются информационные технологии, обладающие следующими основными свойствами:

F содержат информацию различной степени конфиденциальности;

F при передаче данных имеют криптографическую защиту информации различной степени конфиденциальности;

F отражают иерархичность полномочий субъектов, открывают доступ к программам, к автоматическим рабочим местам, файлам-серверам, каналам связи и информации системы; необходимость изменения этих полномочий;

F организует обработку информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;

F обеспечивают управление потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

F регистрируют и учитывают потоки несанкционированного доступа, события в системе и документах, выводимых на печать;

F обеспечивают целостность программного продукта и информации в экономических информационных системах;

F устанавливают наличие средств восстановления системы защиты информации, а также обязательный учет магнитных носителей;

F создают условия для физической охраны средств вычислительной техники и магнитных носителей.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации экономической информационной системы. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия:

Ш устанавливается наличие конфиденциальной информации в разрабатываемой экономической информационной системы, оцениваются уровень конфиденциальности и объемы такой информации;

Ш определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.

Ш анализируется возможность использования имеющихся на рынке сертификационных средств защиты информации;

Ш определяет степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

Ш вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.

Среди охранных мероприятий по обеспечению безопасности информации важное место принадлежит охране объекта. При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к системе и линиям связи.

Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных решений предусматривает:

v учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

v ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

v оперативный контроль за функционированием систем защиты секретной информации;

v контроль соответствия общесистемной программной среды эталону;

v приемку новых программных средств;

v контроль над ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей.

Создание базовой системы защиты информации основываются на следующих принципах:

1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных средств систем защиты.

2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации без ее предварительной регистрации.

3. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования.

4. Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

6. «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей автоматических информационных технологий.

7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации автоматических информационных технологий без системы защиты информации.

Проблема создания системы защиты информации включает взаимодополняющие задачи:

ь разработку системы защиты информации (ее синтез);

ь оценку разработанной системы защиты информации.

Вторая задача решается путем анализа технических характеристик защиты информации с целью установления соответствия ее требованиям, предъявляемым к таким системам.

Методы обеспечения безопасности

К методам обеспечения безопасности относятся:

F препятствие;

F управление доступом;

F массировка;

F регламентация;

F принуждение;

F побуждение;

F механизмы шифрования;

F противодействие атакам вредоносных программ.

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - метод защиты информации с помощью регулирования использования всех ресурсов компьютерной информационной системы банковской деятельностью (элементов баз данных, программных и технических средств). Управление доступом включает следующее функции защиты:

v идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

v опознание (установление подлинности) объекта или субъекта по предъявленному ему идентификатору;

v проверку полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

v разрешение и создание условий работы в пределах установленного регламента;

v регистрацию (протоколирование) обращений к защищаемым ресурсам;

v реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.

Массировка - метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам большой протяженности данный метод является наиболее надежным.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводилась бы к минимуму.

Побуждение - метод защиты, побуждающий пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Принуждение - метод защиты, когда пользователи и персонал системы вынуждены соблюдать правила обработки и использования защищенной информации под угрозой материальной, административной или уголовной ответственности.

Механизмы шифрования - криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ - предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер - это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Рассмотренные методы реализуются на практике за счет применения различных средств защиты.

Средства защиты информации

Вся совокупность технических средств защиты информации подразделяется на аппаратные и физические

Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.)

Программные средства - это программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций.

Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Для реализации мер безопасности используются различные механизмы шифрования (криптографии).

Криптография - это наука об обеспечении секретности и / или аутентичности (подлинности) передаваемых сообщений.

Наряду с шифрованием внедряются следующие механизмы безопасности:

F цифровая подпись;

F контроль доступа;

F обеспечение целостности данных;

F обеспечение аутентификации;

F управление маршрутизацией;

F арбитраж или освидетельствование.

При защите коммерческой информации, как правило, используются любые существующие средства и системы защиты данных от несанкционированного доступа, но в каждом случае следует реально оценивать важность защищаемой информации и ущерб, который может нанести ее утрата.

Защита информации может осуществляться разными методами, но наибольшей надежностью и эффективностью обладают системы и средства, построенные на базе криптографических методов.

экономический безопасность информационный доступ

Список литературы

1. Алиев В.С. Информационные технологии и системы финансового менеджмента: учебное пособие. - М.: «ФОРУМ»: ИНФРА-М. 2007.

2. Барановская Т.П. Информационные системы и технологии в экономике: Учебник. 2-е изд. - М.: Финансы и статистика, 2003.

3. Бройдо В.Л. Вычислительные системы, сети и телекоммуникации: Учебник. - 2-е изд. - СПб: Питер, 2003.

4. Ветлугина И.М. Теоретические основы информационного моделирования. Учебное пособие. - Владивосток: Изд-во Дальневост. Ун-та, 2005.

5. Ветлугина И.М. Информационное моделирование в управлении современными экономическими системами: Монография / под научной редакцией Л.В. Акимовой. - М.: Компания Спутник+, 2005.

6. Грабауров В.А. Информационные технологии для менеджеров. М.: Финансы и статистика, 2001.

7. Информатика Учебник. / Под ред. Н.В. Макаровой. - 4-е изд. - М.: Финансы и статистика, 2007.

Размещено на Allbest.ru