Программные средства защиты информации в информационных системах

Размещено на http://www.allbest.ru/

Министерство сельского хозяйства Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

"Алтайский государственный аграрный университет"

Кафедра землеустройства, земельного и городского кадастра

Курсовая работа

Программные средства защиты информации в информационных системах

Руководитель

Жигулина Т.Н.

Барнаул 2014



Содержание

Введение

Глава 1. Программные средства защиты информации в информационных системах

1.1 Нормативно-правовое обеспечение защиты информации

1.2 Виды угроз безопасности информационных систем

1.3 Методы и средства программной защиты информации в информационных системах

1.4 Основные направления программной защиты, используемые в автоматизированных информационных технологиях

Глава 2. Проектирование геоинформационных систем

Заключение

Библиографический список



Введение

В настоящее время сформировалось устойчивое отношение к информации всех видов, как к ценнейшему ресурсу. Объясняется это небывалым ростом объема информационных потоков в современном обществе в различных сферах деятельности. Развитие любой отрасли напрямую зависит от качества используемой информации, ее достоверности и полноты, оперативности и формы представления. Поэтому особое внимание должно уделяться проблемам формирования, использования и защиты информационных ресурсов на основе применения программных средств защиты.

Цель курсового проекта по дисциплине "Географические и земельно-информационные системы" заключается в формировании навыков практической работы, связанной с проектированием и разработкой геоинформационных систем по автоматизации землеустроительных расчетов и управлению землеустроительными ресурсами.

Данная цель может быть достигнута при успешном решении следующих задач:

- изучение состава и функций геоинформационных систем

- изучение теоретических основ проектирования геоинформационных систем (ГИС) и земельно-информационных систем (ЗИС)

- приобретение навыков практической разработки техничесих проектов ГИС и ЗИС

- освоение работы основными видами прикладного программного обеспечения, использующегося для реализации ГИС и ЗИС.



Глава 1. Программные средства защиты информации в информационных системах

1.1 Нормативно-правовое обеспечение защиты информации

Информация - сведения (сообщения, данные) независимо от формы их представления. [7]

Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация.

В соответствии с российским законодательством к конфиденциальной относится следующая информация:

· служебная тайна (врачебная, адвокатская, тайна суда и следствия и т.д.);

· коммерческая тайна;

· персональные данные (сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность).

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; [7]

Проникая во все сферы деятельности общества и государства, информация приобретает конкретные политические, материальные и стоимостные выражения. С учетом усиления роли информации на современном этапе, правовое регулирование общественных отношений, возникающих в информационной сфере, является приоритетным направлением процесса нормотворчества в Российской Федерации (РФ), целью которого является обеспечение информационной безопасности государства. [5]

Основными целями защиты информации являются:

§ предотвращение утечки, хищения, утраты, искажения и подделки информации (защите подлежит любая информация, в том числе и открытая);

§ предотвращение угроз безопасности личности, общества и государства (то есть защита информации является одним из способов обеспечения информационной безопасности РФ);

§ защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

§ сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством. [5]

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Нормативно-правовыми актами, обеспечивающими защиту информации в Российской Федерации являются:

1. Конституция Российской Федерации;

2. Гражданский кодекс Российской Федерации;

3. Уголовный кодекс Российской Федерации;

4. Федеральный закон Российской Федерации от 28 декабря 2010 г №380 - ФЗ "О безопасности"

5. Федеральный закон от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите и информации"

Конституция РФ является основным источником права в области обеспечения информационной безопасности в России.

Согласно Конституции РФ:

§ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23);

§ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (статья 24);

§ каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, перечень сведений, составляющих государственную тайну, определяется федеральным законом (статья 29);

§ каждый имеет право на достоверную информацию о состоянии окружающей среды (статья 42).

В Гражданском кодексе РФ, в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне.

В Уголовном кодексе РФ ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 -- за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 -- за нарушение правил эксплуатации ЭВМ, систем и сетей;

Основополагающим законодательным актом в России, регулирующим отношения в информационной сфере является Федеральный закон от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите и информации"

Предметом регулирования данного закона являются отношения, возникающие в трех взаимосвязанных направлениях:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

В Законе даны определения важнейших терминов, используемых в информационной сфере.

Закон разграничивает информацию по категориям доступа: общедоступная информация, информация с ограниченным доступом.

В законе дан перечень сведений, которые запрещено относить к информации с ограниченным доступом. Это прежде всего нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, органов местного самоуправления; информация о состоянии окружающей среды; информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); информация, накапливаемая в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; иная информация, недопустимость ограничения доступа к которой установлена федеральными законами.

В законе также отражены принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации.

1.2 Виды угроз безопасности информационных систем

Угроза безопасности ИС - совокупность условий и факторов, которые могут вызвать изменение функционирования ИС, связанное с нарушением защищенности обрабатываемой ими информации. [8]

Угрозы информационной безопасности можно классифицировать по различным признакам.

По аспекту информационной безопасности, на который направлены угрозы, выделяют:

· Угрозы конфиденциальности. Они заключаются в неправомерном доступе к конфиденциальной информации.

· Угрозы целостности. Эти угрозы означают любое преднамеренное преобразование данных, содержащихся в информационной системе.

· Угрозы доступности. Их осуществление приводит к полной или временной невозможности получения доступа к ресурсам информационной системы. [8]

По степени преднамеренности действий угрозы делят на:

· Случайные. Эти угрозы не связаны с умышленными действиями правонарушителей; осуществляются они в случайные моменты времени. Источниками этих угроз могут служить стихийные бедствия и аварии, ошибки при разработке информационной системы, сбои и отказы систем, ошибки пользователей и обслуживающего персонала. Согласно статистическим данным, эти угрозы наносят до 80% от всего ущерба, наносимого различными видами угроз. Однако следует отметить, что этот тип угроз довольно хорошо изучен, и имеется весомый опыт борьбы с ними. Снизить потери от реализации угроз данного класса помогут такие меры, как: использование современных технологий для разработки технических и программных средств, эффективная эксплуатация информационных систем, создание резервных копий информации.

· Преднамеренные. Это специально созданные угрозы. В отличие от случайных, они менее изучены за счет их высокой динамичности и постоянного пополнения новыми угрозами, что затрудняет борьбу с ними. [8]

По расположению источника угроз:

· Внутренние. Источники этих угроз располагаются внутри системы.

· Внешние. Источники данных угроз находятся вне системы.

По степени зависимости от активности информационной системы:

· Угрозы, реализация которых не зависит от активности информационной системы.

· Угрозы, осуществление которых возможно только при автоматизированной обработке данных. [8]

По размерам наносимого ущерба:

· Общие. Эти угрозы наносят ущерб объекту безопасности в целом, причиняя значительное отрицательное влияние на условия его деятельности.

· Локальные. Угрозы этого типа воздействуют на условия существования отдельных частей объекта безопасности.

· Частные. Они причиняют вред отдельным свойствам элементов объекта или отдельным направлениям его деятельности. [8]

По степени воздействия на информационную систему:

· Пассивные. При реализации данных угроз структура и содержание системы не изменяются.

· Активные. При их осуществлении структура и содержание системы подвергается изменениям. [8]

Среди общих угроз можно выделить:

1) противоправный сбор и использование информации;

2) нарушение технологий обработки информации;

3) внедрение аппаратных и программных закладок, нарушающих нормальное функционирование информационной системы;

4) создание и распространение вредоносных программ;

5) уничтожение и повреждение информационной системы и каналов связи;

6) рассекречивание ключей и средств криптографической защиты;

7) утечка информации по техническим каналам;

8) внедрение устройств для перехвата информации;

9) хищение, повреждение и уничтожение носителей информации;

10) несанкционированный доступ в ИС и БД.



1.3 Методы и средства программной защиты информации в информационных системах

Под программными средствами зашиты информации понимают специальные программы, включаемые в состав программного обеспечения ИС исключительно для выполнения защитных функций. [3]

К основным программным средствам защиты информации относятся:

· программы идентификации и аутентификации пользователей ИС;

· программы разграничения доступа пользователей к ресурсам ИС;

· программы шифрования информации;

· программы зашиты информационных ресурсов от несанкционированного изменения, использования и копирования.

Под идентификацией, применительно к обеспечению информационной безопасности, понимают однозначное распознавание уникального имени субъекта ИС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта). [3]

Примеры вспомогательных программных средств защиты информации:

· программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т.п.);

· программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью ИС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;

· программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);

· программы тестового контроля защищенности ИС и др. [3]

Преимущества программных средств защиты информации:

1. простота тиражирования;

2. гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных ИС);

3. практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации. [3]

Недостатки программных средств зашиты информации:

1. снижение эффективности ИС за счет потребления ее ресурсов, требуемых для функционирование программ зашиты;

2. более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами зашиты, например шифрования);

3. возможность злоумышленного изменения программных средств защиты в процессе эксплуатации ИС. [3]

1.4 Основные направления программной защиты, используемые в автоматизированных информационных технологиях

Можно выделить следующие направления использования программ для обеспечения безопасности информации:

1) защита информации от несанкционированной доступа;

2) защита информации от копирования;

3) защита информации от вирусов;

4) программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

1. идентификации технических средств, файлов и аутентификации пользователей;

2. регистрации и контроля работы технических средств и пользователей;

3. обслуживания режимов обработки информации ограниченного пользования;

4. защиты операционных средств ЭВМ и прикладных программ пользователей;

5. уничтожения информации в защитные устройства после использования;

6. сигнализирующих нарушения использования ресурсов;

7. вспомогательных программ защиты различного назначения. [3]

Защита информации от несанкционированного доступа

Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:

· идентификация субъектов и объектов;

· разграничение (иногда и полная изоляция) доступа к вычислительным ресурсам и информации;

· контроль и регистрация действий с информацией и программами.

Наиболее распространенным методом идентификации является парольная идентификация. Однако практика показывает, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, перехватить или просто разгадать. [3]

Защита от копирования

Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и являются в настоящее время единственно надежным средством - как защищающим авторское право программистов-разработчиков, так и стимулирующих развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть дискета, определенная часть компьютера или специальное устройство, подключаемое к персональному компьютеру. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты:

· Идентификация среды, из которой будет запускаться программа (дискета или ПК);

· Аутентификация среды, из которой запущена программа;

· Реакция на запуск из несанкционированной среды;

· Регистрация санкционированного копирования;

· Противодействие изучению алгоритмов работы системы. [3]

Защита программ и данных от компьютерных вирусов

Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность при хранении конфиденциальной информации. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия. [3]

Компьютерные вирусы - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в компьютерной системе. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в ИС. В процессе распространения вирусы могут себя модифицировать. программный автоматизированный геоинформационный

Классификация компьютерных вирусов

- по среде обитания вируса,

- по способу заражения среды обитания,

- по деструктивным возможностям,

- по особенностям алгоритма вируса.

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы компьютеров вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

- обнаружение вирусов в ИС,

- блокирование работы программ-вирусов,

- устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему. [3]

Устранение последствий воздействия вирусов ведется в двух направлениях:

- удаление вирусов,

- восстановление (при необходимости) файлов, областей памяти.

Методом защиты от вирусов является использование программных антивирусных средств.

Современные программные антивирусные средства могут осуществлять комплексную проверку компьютера на предмет выявления компьютерных вирусов. Для этого используются такие антивирусные программы как - Kaspersky Anti-Virus (AVP), Norton Antivirus, Dr. Web, Symantec Antivirus. Все они имеют антивирусные базы, которые периодически обновляются.



Глава 2. Проектирование геоинформационных систем

Создание электронной карты осуществлялось в программном продукте MapInfo Professional.

Электронная карта СПК "Крупской" состоит из 5слоев: "Сельскохозяйственные_угодья", "Растительность", "Землепользование", "Полевые_дороги_линейные", "Крупской". Каждый слой содержит таблицу и связанные с ней объекты карты, такие как полигоны, точки, линии.

Для того чтобы создать новый слой необходимо:

1. Выполнить команду файл >новая таблица, появится диалог Новая таблица;

2. Выбрать пункт Добавить к карте > Создать;

3. Чтобы сформировать структуру таблицы нажимаем Добавить поле, задаем полю имя, тип, количество знаков;

4. Продолжаем добавлять поля, создав их столько, сколько необходимо;

5. Нажимаем кнопку Создать, откроется диалог Создать новую таблицу;

6. Выбираем место на диске, куда ее сохранить, задаем имя таблицы;

7. Нажимаем кнопку Сохранить.

Таблица "Сельскохозяйственные_угодья" состоит из следующих полей:

· номер по порядку (целое);

· вид угодий (символьное,25);

· характеристика (символьное, 30);

· площадь (целое).

Таблица "Растительность" имеет следующую структуру:

· номер по порядку (целое);

· название (символьное,25).

Таблица "Крупской" представляет собой растровый слой.

При создании тематических слоев в MapInfo необходимо учитывать не только тематическую общность объектов, но и вид геометрического примитива, из которого состоят пространственные объекты. Так, точечные, линейные и полигональные объекты необходимо относить к разным тематическим слоям.

Порядок формирования площадных объектов.

Полигональный (площадной) объект - двухмерный пространственный объект, ограниченный замкнутым линейным объектом и обычно идентифицированный своим центроидом.

Сделав изменяемым рабочий слой и включив режим узлов (S), приступаем к созданию объекта.

1. На инструментальной панели Пенал нажимаем кнопку Стиль области;

2. Откроется диалог Стиль области, в котором можно выбрать стиль оформления, цвет и толщину линейных объектов;

3. С помощью инструмента Полилиния отрисовываем замкнутый контур площадного объекта.

Порядок формирования площадных объектов.

Линейный объект - одномерный пространственный объект, координаты которого состоят из двух или более па рпространственных координат, образуя последовательность из одного или более сегментов.

Сделав изменяемым рабочий слой и включив режим узлов (S), приступаем к созданию объекта.

1. На инструментальной панели Пенал нажимаем кнопку Стиль линии;

2. Откроется диалог Стиль линии, в котором можно выбрать цвет, заливку/штриховку и тип границы создаваемого площадного объекта;

3. С помощью инструмента Полилиния отрисовываем линейный объект по его центру.

Для выполнения практической части курсовой работы было получено задание: вычислить общую, среднюю, минимальную и максимальную площади сенокосов, создать тематическую карту "Распределение сельскохозяйственных угодий по видам", сформировать отчет.

Чтобы создать SQL-запрос, необходимо:открыть таблицу с данными, на основе которых будет осуществляться запрос, выполнить команду Запрос > SQL-запрос. Будет открыт диалог SQL-запрос, заполнить окна для определения запроса, нажмите на кнопку OK, и MapInfo выполнит запрос.

Результат выполнения SQL-запроса

Fields {Sum(Area(obj, "hectare")) "Общая площадь сенокосов,га", Avg(Area(obj, "hectare")) "Средняя площадь сенокосов,га", Min(Area(obj, "hectare")) "Минимальная площадь сенокосов,га", Max(Area(obj, "hectare")) "Максимальная площадь сенокосов,га"}

Tables {Сельскохозяйственные_угодья}

Where {Вид_угодий Like "Сенокос"}

Group {}

Order {}

Into {Selection}

Browse

Порядок создания тематической карты

Процесс создания тематической карты "Распределение сельскохозяйственных угодий по видам" проходил в три шага.

Шаг 1. Выбор типа тематического шаблона. В данном меню было выбрано: Тип - отдельные значения; Шаблон- индивидуальное значение региона стандартное.

Шаг 2. Выбор значений для тематического выделения. В данном меню был выбран слой карты, на основе которого создается тематическая карта- "Сельскохозяйственные угодья", и выбрано поле (колонка) или выражение, по которому она будет строиться - "Вид угодий". Выбираем опцию "пропускать нули и пустые значения".

Шаг 3. Настройка тематической карты. В данном меню можно выбрать стиль, легенду карты, заголовок.

Процесс формирования отчета.

Окно отчета позволяет комбинировать окна списков, карт, графиков и других графических объектов в единый документ, который можно распечатывать или передавать в другие приложения, такие как PowerPoint или Word.

Для того чтобы создать отчет, нужно в меню Окно нажать Новый отчет, затем Чистый лист. На нем размещаем тематическую карту, заголовок, легенду карты, таблицу с результатом SQL-запроса, информацию об исполнителе задания.

Готовый проект хранится по адресу: 42/C:/1 очное/3 курс/Корнеева 616а/Рабочий набор.wor.



Заключение

Курсовой проект состоит из двух глав.

В первой главе раскрыта тема программных средств защиты информации в информационных системах, поскольку с ростом количества и качества угроз информации обеспечение ее сохранности и установленного статуса использования - одна из важных проблем современности.

Вторая глава посвящена описанию создания электронной карты СПК "Крупской" в программном продукте MapInfo Professional, а также процесса выполнения предложенного практического задания, результатом которого стал отчет.



Библиографический список

1. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 №51-ФЗ;

2. Конституция Российской Федерации от 12.12.1993;

3. Малинина Л.А. Основы информатики: Учебник для вузов. / Лариса Александровна Малинина, Вадим Васильевич Лысенко, Максим Анатольевич Беляев [электронный ресурс]. - Режим доступа:http://www.plam.ru/compinet/osnovy_informatiki_uchebnik_dlja_vuzov/index.php;

4. Правовая система " Гарант":http://www.garant.ru;

5. Правовое регулирование защиты информации в России [электронный ресурс]. - Режим доступа: http://www.e-nigma.ru/stat/dip_1/;

6. "Уголовный кодекс Российской Федерации" от 13.06.1996 №3-ФЗ;

7. Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" [электронный ресурс]. - Режим доступа: http://www.rg.ru/2006/07/29/informacia-dok.html;

8. Хорев П.Б. Методы и средства защиты информации в компьютерных системах: учебное пособие для студентов высших учебных заведений. / Павел Борисович Хорев. - М.: Издательский центр "Академия", 2005. - 256 с.

Размещено на Allbest.ru