Модели информационной безопасности информационных систем

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ТЕОРИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Принципы обеспечения информационной безопасности

1.2 Формальные модели безопасности

2. ПРОБЛЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1 Недостатки существующих стандартов и рекомендаций

2.2 Наиболее распространенные угрозы

3. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СЕТИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБЩЕСТВА В ШИФРОВАНИИ ДАННЫХ

3.1 Криптографические методы защиты информации

3.2 Политика безопасности

ЗАКЛЮЧЕНИЕ

СПИСОК источников и литературы

 ВВЕДЕНИЕ

Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:

- целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;

- конфиденциальности информации;

- доступности информации для авторизованных пользователей.

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:

- средства физической защиты;

- программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);

- административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.

Объектом курсовой работы являются информационные системы.

Предметом являются модели информационной безопасности информационных систем.

Целью курсовой работы является изучение моделей информационной безопасности информационных систем и прикладных областей их применения.

Задачи курсовой работы:

- изучить принципы обеспечения информационной безопасности;

- проанализировать формальные модели информационной безопасности;

- выявить недостатки существующих стандартов по обеспечению информационной безопасности;

- изучить наиболее распространенные угрозы информационной безопасности;

- изучить информационную безопасность сети и информационную безопасность общества в шифровании данных.

Изучением проблем обеспечения информационной безопасности информационных систем занимались Гайкович В., Сычев Ю.Н., Партыка Т.Л., Завгородний В.И., Грушо А.А. и др. Представляется возможным изучение результатов исследований Кузьмина И.В., Арапова М.В., Герасименко В.А., которые обозначили модели защиты информации в информационных системах, эффективные методы и модели защиты компьютерной информации в информационных системах.

1 ТЕОРИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Принципы обеспечения информационной безопасности

Для защиты АИС могут быть сформулированы следующие положения:

- Информационная безопасность основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов;

- Информационная безопасность АИС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мероприятий;

- Информационная безопасность АИС должна обеспечиваться на всех этапах технологической обработки данных и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;

- Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АИС;

- Неотъемлемой частью работ по информационной безопасности является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию;

- Защита АИС должна предусматривать контроль эффективности средств защиты.

Этот контроль может быть периодическим или инициируемым по мере необходимости пользователем АИС.

- Системность - при разработке и реализации систем защиты информации предполагает определение возможных угроз информационной безопасности и выбор методов и средств, направленных на противодействие данному комплексу угроз.

При этом выбранное решение должно включать набор мероприятий, противодействующий всему комплексу угроз.

- Комплексность. При решении вопросов обеспечения информационной безопасности необходимо ориентироваться на весь набор средств защиты данных - программные, технические, правовые, организационные и т.д.

-. Непрерывность - предполагает, что комплекс мероприятий по обеспечению информационной безопасности должен быть непрерывен во времени и пространстве, т.е. защита информационных объектов должна обеспечиваться и при выполнении регламентных и ремонтных работ, во время настройки и конфигурирования информационных систем и сервисов и т.п.

- Разумная достаточность. Невозможно создать абсолютно надёжную и всеобъемлющую систему защиты. При этом построение и обслуживание даже частичной системы защиты требует определённых затрат. Поэтому при выборе системы защиты необходимо найти компромисс между затратами на защиту информационных объектов и возможными потерями при реализации информационных угроз.

- Гибкость управления и применения. Угрозы информационной безопасности многогранны и заранее точно не определены.Для успешного противодействия необходимо наличие возможности изменения применяемых средств, оперативного включения или исключения используемых средств защиты данных, добавления новых механизмов защиты.

- Открытость алгоритмов и механизмом защиты. Средства информационной безопасности сами могут представлять собой угрозу информационной системе или объекту. Для предотвращения такого класса угроз необходимо, чтобы алгоритмы и механизмы защиты допускали независимую проверку на безопасность и следование стандартам. Также требуется проверка возможности применения алгоритмов и механизмов защиты в совокупности с другими средствами защиты данных.

- Простота применения защитных мер и средств. При проектировании систем защиты информации необходимо помнить, что реализация предлагаемых мер и средств будет проводится пользователями (часто не являющихся специалистами в области ИБ). Галатенко В. , Информационная безопасность, "Открытые системы", N 4,

Поэтому для повышения эффективности мер защиты необходимо, чтобы алгоритм работы с ними был понятен пользователю. Кроме того, используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной системой (резко снижать производительность, повышать сложность работы и т.п.).

1.2 Формальные модели безопасности

Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов (пользователей или процессов) к защищаемым информационным и техническим ресурсам -объектам. Механизм управления доступом реализует на практике некоторую абстрактную или формальную модель, определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам.

В литературе описаны следующие формальные модели доступа к данным: модель Биба, модель Гогена-Мезигера, сазерлендская модель, модель Кларка-Вильсона, дискреционная (матричная) модель, многоуровневая (мандатная) модель.

Самой распространённой на практике является дискреционная модель. В её основе лежат следующие положения:

- все субъекты и объекты должны быть идентифицированы;

- права доступа субъекта к объекту системы определяются на основании некоторого внешнего правила.

Отношения «субъекты-объекты» можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах объекты ИС, а в клетках, на пересечении строк и столбцов, записаны дополнительные условия и разрешенные виды доступа. Таким образом, реализация управления доступом заключается в проверке строк матрицы, соответствующей объекту и анализируются права доступа к этому объекту для текущего субъекта.

Достоинство модели -относительно простая реализация соответствующих механизмов защиты. Недостатки - статичность модели и излишне детализированный уровень описания отношений субъектов и объектов, как следствие, усложнение администрирование и возникновение ошибок.

С целью устранения недостатков матричных моделей были разработаны многоуровневые модели (Белла и Ла-Падулы,решетчатая модель Деннинга).

Многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, чем матричные, представляют собой Лучшую основу для построения автоматизированных систем разграничения доступа.

Мандатное управление доступом, включает следующие требования:

- все субъекты и объекты ИС должны быть однозначны идентифицированы;

- задан линейно упорядоченный набор меток секретности;

- каждому объекту системы присвоена метка секретности, определяющая ценность

содержащей в ней информации -- уровень секретности;

- каждому субъекту системы присвоена метка секретности, определяющая уровень доступа к нему; метка секретности субъекта называется его уровнем доступа.

Основная цель мандатной политики - предотвращение утечки информации от объектов с высоким доступа к объектам низким уровнем доступа. Важное достоинство мандатной модели - формальное доказательство утверждения: если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушает ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно.

Недостаток мандатной модели - сложность реализации. Множество операций ограничивается операциями чтения (поток данных направлен от объекта к субъекту) и записи (поток направлен от субъекта к объекту).

Чаще всего основой реализации политики разграничения доступа к ресурсам при обработке сведений конфиденциального характера является дискреционная модель, а секретных сведений - мандатная.

Монитор безопасности и его функции.

При реализации политики безопасности на уровне доступа в информационной системе должен существовать модуль, обеспечивающий выполнение операций доступа на основе выбранной модели - монитор безопасности или диспетчер доступа. Диспетчер доступа является центральным элементом системы защиты и идентифицирует субъекты, объекты и параметры запрашиваемого доступа субъектов к объектам. Именно монитор безопасности предоставляет запрашиваемый доступ или запрещает его.

Основными функциями монитора безопасности являются:

1. Обеспечение корректности и однозначности реализации разграничительной политики доступа к ресурсам, т.е. каждому субъекту однозначно указывается набор объектов, к которым разрешен легитимный доступ.

2. Обеспечение полноты реализации разграничительной политики доступа к ресурсам, т.е. управление доступом должно быть применено не только каждому субъекту, но и к каждому объекту.

3. Монитор безопасности должен обнаруживать как явные, так и скрытые действия субъекта при доступе к объекту, т.е. противодействовать как явным, так и скрытым угрозам.

4. Монитор безопасности должен обеспечивать реализацию всех функций администрирования (изменение учётной записи, изменение правил разграничения доступа, изменение списка субъектов). При этом диспетчер доступа должен предоставлять право изменять учетную информацию субъектов только уполномоченным субъектам (администраторы, служба безопасности).

5. Монитор безопасности должен содержать в своём составе средства управления, ограничивающие распространение прав на доступ. Сычев Ю.Н. ОСНОВЫ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Учебно-практическое пособие. - М.: Изд. центр ЕАОИ, 2007. - 300 с.

2 ПРОБЛЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1 Недостатки существующих стандартов и рекомендаций

Прежде всего, примем понятие информационной безопасности - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную систему, имеющую сертификат безопасности.

Так сложилось, что в России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой ценной.

Общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности - это проблема всего общества. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности - Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т. д. , без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется.

Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ. Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п. Напомним названия ключевых механизмов обеспечения информационной безопасности:

- идентификация и аутентификация;

- управление доступом;

- протоколирование и аудит;

- криптография;

- экранирование.

Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо меньшей степени - на потребителей.

Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.

Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:

- как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?

- как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?

Как уже отмечалось, стандарты и рекомендации несут на себе "родимые пятна" разработавших их ведомств. На первом месте в «Оранжевой книге» (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место. Леонтьев В.П. Персональный компьютер, Издательство «Олма-Пресс». - М., 2004

Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес представляют по возможности простые рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще одно замечание общего характера. Несмотря на отмеченные недостатки, у «Оранжевой книги» есть огромный идейный потенциал, который пока во многом остается невостребованным. Прежде всего, это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание «троянских коней» и распространение вирусов. К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация - как правило, идентификатор (пароль) владельца процесса, - не имеющая отношения к характеру действия.

2.2 Наиболее распространенные угрозы

Прежде чем переходить к рассмотрению средств обеспечения информационной безопасности, рассмотрим самые распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опасностью. В общем случае проблему информационной безопасности следует рассматривать и с учетом опасности нелегального доступа.

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий. На втором месте по размерам ущерба располагаются кражи и подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный ущерб в размере 882 млн. долл. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней. Весьма опасны так называемые «обиженные сотрудники» - действующие и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:- повредить оборудование;

- встроить логическую бомбу, которая со временем разрушит программы и/или данные;

- ввести неверные данные;

-удалить данные;

- изменить данные.

«Обиженные сотрудники», даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т. п. Опасны, разумеется, стихийные бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных «врагов», среди которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Много говорят и пишут о хакерах(крекерах), но исходящая от них угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного в этом мало.

Много говорят и пишут и о программных вирусах. Причем в последнее время говорят уже о вирусах, воздействующих не только на программы и данные, но и на пользователей. Так, в свое время появилось сообщение о жутком вирусе 666, который, выводя каждую секунду на монитор некий 25-й кадр, вызывает у пользователей кровоизлияние в мозг и смерть (впоследствии это сообщение не подтвердилось).

Однако, говоря о «вирусной» угрозе, обратим внимание на следующий факт. Как показали проведенные в США в 1993 году исследования, несмотря на экспоненциальный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных вирусами, не зарегистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где работают, а не играют в компьютерные игры (именно это явление приводит к использованию непроверенных на наличие вирусов программ), число зараженных компьютеров составляет лишь доли процента.

Таковы основные угрозы, на долю которых приходится львиная доля урона, наносимого информационным системам. Рассмотрим теперь иерархию защитных мероприятий, способных противостоять угрозам.

Главная цель Управленческие меры обеспечения информационной безопасности, предпринимаемых на управленческом уровне, - формирование программы работ в области информационной безопасности и обеспечение ее выполнения. В задачу управления входит выделение необходимых ресурсов и контроль состояния дел. Основой программы является многоуровневая политика безопасности, отражающая подход организации к защите своих информационных активов. Мельников В. П. Информационная безопасность : учеб. пособие/ В.П. Мельников, С.А. Клейменов, А.М.Петраков ; под ред. С.А.Клейменова. - М.: Изд. центр «Академия»

Использование информационных систем связано с определенной совокупностью рисков. Когда риск неприемлемо велик, необходимо предпринять защитные меры. Периодическая переоценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.3. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СЕТИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБЩЕСТВА В ШИФРОВАНИИ ДАННЫХ

3.1 Криптографические методы защиты информации

Механизмами шифрования данных для обеспечения информационной безопасности общества является криптографическая защита информации посредством криптографического шифрования.

Криптографические методы защиты информации применяются для обработки, хранения и передачи информации на носителях и по сетям связи.

Криптографическая защита информации при передаче данных на большие расстояния является единственно надежным способом шифрования.

Криптография - это наука, которая изучает и описывает модель информационной безопасности данных. Криптография открывает решения многих проблем информационной безопасности сети: аутентификация, конфиденциальность, целостность и контроль взаимодействующих участников.

Термин «Шифрование» означает преобразование данных в форму, не читабельную для человека и программных комплексов без ключа шифрования-расшифровки. Криптографические методы защиты информации дают средства информационной безопасности, поэтому она является частью концепции информационной безопасности.

Криптографическая защита информации (конфиденциальность)

Цели защиты информации в итоге сводятся к обеспечению конфиденциальности информации и защите информации в компьютерных системах в процессе передачи информации по сети между пользователями системы.

Защита конфиденциальной информации, основанная на криптографической защите информации, шифрует данные при помощи семейства обратимых преобразований, каждое из которых описывается параметром, именуемым «ключом» и порядком, определяющим очередность применения каждого преобразования.

Важнейшим компонентом криптографического метода защиты информации является ключ, который отвечает за выбор преобразования и порядок его выполнения. Ключ - это некоторая последовательность символов, настраивающая шифрующий и дешифрующий алгоритм системы криптографической защиты информации. Каждое такое преобразование однозначно определяется ключом, который определяет криптографический алгоритм, обеспечивающий защиту информации и информационную безопасность информационной системы.

Один и тот же алгоритм криптографической защиты информации может работать в разных режимах, каждый из которых обладает определенными преимуществами и недостатками, влияющими на надежность информационной безопасности России и средства информационной безопасности.

Основы информационной безопасности криптографии (Целостность данных)

Защита информации в локальных сетях и технологии защиты информации наряду с конфиденциальностью обязаны обеспечивать и целостность хранения информации. То есть, защита информации в локальных сетях должна передавать данные таким образом, чтобы данные сохраняли неизменность в процессе передачи и хранения.

Для того чтобы информационная безопасность информации обеспечивала целостность хранения и передачи данных необходима разработка инструментов, обнаруживающих любые искажения исходных данных, для чего к исходной информации придается избыточность.

Информационная безопасность в России с криптографией решает вопрос целостности путем добавления некой контрольной суммы или проверочной комбинации для вычисления целостности данных. Таким образом, снова модель информационной безопасности является криптографической - зависящей от ключа. По оценке информационной безопасности, основанной на криптографии, зависимость возможности прочтения данных от секретного ключа является наиболее надежным инструментом и даже используется в системах информационной безопасности государства.

Как правило, аудит информационной безопасности предприятия, например, информационной безопасности банков, обращает особое внимание на вероятность успешно навязывать искаженную информацию, а криптографическая защита информации позволяет свести эту вероятность к ничтожно малому уровню. Подобная служба информационной безопасности данную вероятность называет мерой имитостойкости шифра, или способностью зашифрованных данных противостоять атаке взломщика.

Защита информации и государственной тайны (Аутентификация криптографической защиты информации)

Защита информации от вирусов или системы защиты экономической информации в обязательном порядке должны поддерживать установление подлинности пользователя для того, чтобы идентифицировать регламентированного пользователя системы и не допустить проникновения в систему злоумышленника, о ч ем Вы можете прочитать любой реферат средства защиты информации.

Проверка и подтверждение подлинности пользовательских данных во всех сферах информационного взаимодействия - важная составная проблема обеспечения достоверности любой получаемой информации и системы защиты информации на предприятии.

Информационная безопасность банков особенно остро относится к проблеме недоверия взаимодействующих друг с другом сторон, где в понятие информационной безопасности ИС включается не только внешняя угроза с третьей стороны, но и угроза информационной безопасности (лекции) со стороны пользователей.

Понятие информационной безопасности. Цифровая подпись

Иногда пользователи ИС хотят отказаться от ранее принятых обязательств и пытаются изменить ранее созданные данные или документы. Доктрина информационной безопасности РФ учитывает это и пресекает подобные попытки.

Защита конфиденциальной информации с использованием единого ключа невозможно в ситуации, когда один пользователь не доверяет другому, ведь отправитель может потом отказаться от того, что сообщение вообще передавалось. Далее, не смотря на защиту конфиденциальной информации, второй пользователь может модифицировать данные и приписать авторство другому пользователю системы. Естественно, что, какой бы не была программная защита информации или инженерная защита информации, истина установлена быть не может в данном споре.

Цифровая подпись в такой системе защиты информации в компьютерных системах является панацеей проблемы авторства. Защита информации в компьютерных системах с цифровой подписью содержит в себе 2 алгоритма: для вычисления подписи и для ее проверки. Первый алгоритм может быть выполнен лишь автором (см. Рекомендации по защите информации), а второй - находится в общем доступе для того, чтобы каждый мог в любой момент проверить правильность цифровой подписи (см. Рекомендации по защите информации).

Криптографическая защита и безопасность информации. Криптосистема

Криптографическая защита и безопасность информации или криптосистема работает по определенному алгоритму и состоит из одного и более алгоритмов шифрования по специальным математическим формулам. Также в систему программной защиты информации криптосистемы входят ключи, используемые набором алгоритмов шифрования данных, алгоритм управления ключами, незашифрованный текст и шифртекст.

Работа программы для защиты информации с помощью криптографии, согласно доктрине информационной безопасности РФ сначала применяет к тексту шифрующий алгоритм и генерирует ключ для дешифрования. После этого шифртекст передается адресату, где этот же алгоритм расшифровывает полученные данные в исходный формат. Кроме этого в средствах защиты компьютерной информации криптографией включают в себя процедуры генерации ключей и их распространения.

Симметричная или секретная методология криптографии (Технические средства защиты информации). Защита информации в России

В этой методологии технические средства защиты информации, шифрования и расшифровки получателем и отправителем используется один и тот же ключ, оговоренный ранее еще перед использованием криптографической инженерной защиты информации.

В случае, когда ключ не был скомпрометирован, в процессе расшифровке будет автоматически выполнена аутентификация автора сообщения, так как только он имеет ключ к расшифровке сообщения (Защита информации - Реферат).

Таким образом, программы для защиты информации криптографией предполагают, что отправитель и адресат сообщения - единственные лица, которые могут знать ключ, и компрометация его будет затрагивать взаимодействие только этих двух пользователей информационной системы.

Проблемой организационной защиты информации в этом случае будет актуальна для любой криптосистемы, которая пытается добиться цели защиты информации или защиты информации в Интернете, ведь симметричные ключи необходимо распространять между пользователями безопасно, то есть, необходимо, чтобы защита информации в компьютерных сетях, где передаются ключи, была на высоком уровне.

Любой симметричный алгоритм шифрования криптосистемы программно аппаратного средства защиты информации использует короткие ключи и производит шифрование очень быстро, не смотря на большие объемы данных, что удовлетворяет цели защиты информации (защиты банковской информации).

Средства защиты компьютерной информации на основе криптосистемы должны использовать симметричные системы работы с ключами в следующем порядке:

Работа информационной безопасности начинается с того, что сначала защита банковской информации создает, распространяет и сохраняет симметричный ключ организационной защиты информации;

Далее специалист по защите информации или отправитель системы защиты информации в компьютерных сетях создает электронную подпись с помощью хэш-функции текста и добавления полученной строки хэша к тексту, который должен быть безопасно передан в организации защиты информации;

Согласно доктрине информационной безопасности, отправитель пользуется быстрым симметричным алгоритмом шифрования в криптографическом средстве защиты информации вместе с симметричным ключом к пакету сообщения и электронной подписью, которая производит аутентификацию пользователя системы шифрования криптографического средства защиты информации;

Зашифрованное сообщение можно смело передавать даже по незащищенным каналам связи, хотя лучше все-таки это делать в рамках работы информационной безопасности. А вот симметричный ключ в обязательном порядке должен быть передан (согласно доктрине информационной безопасности) по каналам связи в рамках программно аппаратных средств защиты информации;

В системе информационной безопасности на протяжении истории защиты информации, согласно доктрине информационной безопасности, получатель использует тоже симметричный алгоритм для расшифровки пакета и тот же симметричный ключ, который дает возможность восстановить текст исходного сообщения и расшифровать электронную подпись отправителя в системе защиты информации. Доктрина информационной безопасности Российской Федерации

В системе защиты информации получатель должен теперь отделить электронную подпись от текста сообщения;

Далее, получатель генерирует другую подпись с помощью все того же расчета хэш-функции для полученного текста и на этом работа информационной безопасности не заканчивается;

Теперь, полученные ранее и ныне электронные подписи получатель сравнивает, чтобы проверить целостность сообщения и отсутствия в нем искаженных данных, что в сфере информационной безопасности называется целостностью передачи данных.

Информационно психологическая безопасность, где используется симметричная методология работы защиты информации, обладает следующими средствами:

Kerberos - это алгоритм аутентификации доступа к сетевым ресурсам, использующий центральную базу данных копий секретных ключей всех пользователей системы защиты информации и информационной безопасности, а также защиты информации на предприятии (скачать защита информации).

Многие сети банкоматов являются примерами удачной системы информационной безопасности (курсовая) и защиты информации (реферат), и являются оригинальными разработками банков, поэтому такую информационную безопасность скачать бесплатно невозможно - данная организация защиты информации не продается!

Открытая асимметричная методология защиты информации. Защита информации в России

Зная историю защиты информации, можно понять, что в данной методологии ключи шифрования и расшифровки разные, хотя они создаются вместе. В такой системе защиты информации (реферат) один ключ распространяется публично, а другой передается тайно (Реферат на тему защита информации), потому что однажды зашифрованные данные одним ключом, могут быть расшифрованы только другим.

Все асимметричные криптографические средства защиты информации являются целевым объектом атак взломщиком, действующим в сфере информационной безопасности путем прямого перебора ключей. Поэтому в такой информационной безопасности личности или информационно психологической безопасности используются длинные ключи, чтобы сделать процесс перебора ключей настолько длительным процессом, что взлом системы информационной безопасности (курсовая) потеряет какой-либо смысл.

Совершенно не секрет даже для того, кто делает курсовую защиту информации, что для того чтобы избежать медлительности алгоритмов асимметричного шифрования создается временный симметричный ключ (Реферат на тему защита информации) для каждого сообщения, а затем только он один шифруется асимметричными алгоритмами.

Системы информационно психологической безопасности и информационной безопасности личности используют следующий порядок пользования асимметричными ключами:

В сфере информационной безопасности создаются и открыто распространяются асимметричные открытые ключи. В системе информационной безопасности личности секретный асимметричный ключ отправляется его владельцу, а открытый асимметричный ключ хранится в БД и администрируется центром выдачи сертификатов системы работы защиты информации, что контролирует специалист по защите информации. Затем, информационная безопасность, скачать бесплатно которую невозможно нигде, подразумевает, что оба пользователя должны верить, что в такой системе информационной безопасности (скачать бесплатно которую нельзя) производится безопасное создание, администрирование и распределение ключей, которыми пользуется вся организация защиты информации. Даже более того, если на каждом этапе работы защиты информации, согласно основам защиты информации (курсовой защиты информации), каждый шаг выполняется разными лицами, то получатель секретного сообщения (скачать защита информации реферат) должен верить, что создатель ключей уничтожил их копию и больше никому данные ключи не предоставил для того, чтобы кто-либо еще мог скачать защиту информации, передаваемой в системе средств защиты информации. Так действует любой специалист по защите информации.

Далее основы защиты информации предусматривают, что создается электронная подпись текста, и полученное значение шифруется асимметричным алгоритмом. Затем все те же основы защиты информации предполагают, секретный ключ отправителя хранится в строке символов и она добавляется к тексту, который будет передаваться в системе защиты информации и информационной безопасности, потому что электронную подпись в защиту информации и информационной безопасности может создать электронную подпись!

Затем системы и средства защиты информации решают проблему передачи сеансового ключа получателю.

Далее в системе средств защиты информации отправитель должен получить асимметричный открытый ключ центра выдачи сертификатов организации и технологии защиты информации. В данной организации и технологии защиты информации перехват нешифрованных запросов на получение открытого ключа - наиболее распространенная атака взломщиков. Именно поэтому в организации и технологии защиты информации может быть реализована система подтверждающих подлинность открытого ключа сертификатов.

Таким образом, алгоритмы шифрования предполагают использование ключей, что позволяет на 100% защитить данные от тех пользователей, которым ключ неизвестен.

3.2 Политика безопасности

В реальной жизни термин «политика безопасности» трактуется гораздо шире, чем в «Оранжевой книге». Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

- формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных за продвижение программы; - формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; - обеспечение базы для соблюдения законов и правил;

- формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики уровня руководства организации цели в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Для организации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защите от несанкционированного доступа конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз? ), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т. д. Завгородний В. И. Комплексная защита информации в компьютерных системах: учеб. пособие / В. И. Завгородний. - М.: ЛОГОС: ПБОЮЛ Н. А. Егоров, 2001.

Политика обеспечения информационной безопасности на среднем уровне должна освещать следующие темы:

- Область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли организаций-субподрядчиков политика отношения к неофициальному программному обеспечению? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

- Позиция организации. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т. п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще, стиль документов по политике безопасности, как и перечень этих документов, может быть существенно различным для разных организаций.

- Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

- Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

- Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" является должностное лицо, и это не зависит от того, какой конкретный человек занимает в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

- кто имеет право доступа к объектам, поддерживаемым сервисом? - при каких условиях можно читать и модифицировать данные?

- как организован удаленный доступ к сервису?

При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству придется найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованы. Обычно ввиду особой важности данного вопроса наиболее формально задаются права доступа к объектам.

Чтобы сделать изложение более конкретным, рассмотрим политику обеспечения информационной безопасности гипотетической локальной сети, которой владеет организация.

Область применения.

В сферу действия политики обеспечения информационной безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации.

Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

- обеспечение уровня безопасности, соответствующего требованиям нормативных документов;

- исследование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);

- обеспечение безопасности в каждой функциональной области локальной сети; - обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

- обеспечение анализа регистрационной информации;

- предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

- выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети; - обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей.

Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.

- руководитель организации отвечает за выработку соответствующей политики обеспечения информационной безопасности и проведение ее в жизнь; - руководители подразделений отвечают за доведение положений политики обеспечения информационной безопасности до пользователей и за контакты с ними. - администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики обеспечения информационной безопасности.

- пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Законопослушность.

Нарушение политики обеспечения информационной безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Поскольку наиболее уязвимым звеном любой информационной системы является человек, особое значение приобретает воспитание законопослушности сотрудников по отношению к законам и правилам информационной безопасности. Случаи нарушения этих законов и правил со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.

ЗАКЛЮЧЕНИЕ

Выводы по задачам.

Принципы обеспечения информационной безопасности:

-Информационная безопасность АИС должна обеспечиваться комплексно на всех этапах технологической обработки данных и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ