Основы информационной безопасности. Локальная сеть
Преподавание правовых основ защиты информации в школьном курсе информатики. Содержание учебного модуля "Защита информации". Типы и схема системы программной защиты, классификация средств. Особенности организации школьной локальной сети и ее защита.
Рубрика | Педагогика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 03.02.2011 |
Размер файла | 894,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Федеральное агентство по образованию
ГОУ ВПО "Уральский государственный педагогический университет"
Факультет информатики
Кафедра информатики и вычислительной техники
и методики обучения информатике
Выпускная квалификационная работа
Основы информационной безопасности. Локальная сеть
Исполнитель:
Пронин Дмитрий Александрович
Студент 501 КР группы
очного отделения
Екатеринбург 2007
Оглавление
- Введение
- Глава 1. Вопросы защиты информации в школьном курсе информатики
- 1.1 Преподавание правовых основ защиты информации в школьном курсе информатики
- 1.1.1 "Защита информации" - как тема в школьном курсе предмета "Информатика"
- 1.1.2 Содержание учебного модуля "Защита информации"
- 1.2 Организация защиты информации (программная составляющая)
- 1.2.1 Назначение программной защиты данных
- 1.2.2 Типы программной защиты
- 1.2.3 Схема системы программной защиты
- 1.2.4 Классификация средств защиты
- 1.2.5 Выбор средства защиты
- 1.2.6 Борьба с пиратством
- 1.2.7 Защита операционной системы
- 1.2.8 Программная организация доступа
- 1.2.9 Защита информационных систем
- 1.2.10 Система криптографии данных
- 1.2.11 Программная защита данных при их передаче
- 1.2.12 Программное восстановление данных
- 1.3 Организация защиты информации (аппаратная составляющая)
- 1.3.1 Защита машинных носителей данных
- 1.3.2 Защита технического обеспечения компьютерных систем
- 1.3.3 Выбор и защита средств коммуникации
- 1.3.4 Используемое программное обеспечение
- 1.3.5 Профилактические работы по защите данных
- 1.3.6 Копирование данных
- 1.3.7 Восстановление данных и носителей данных
- 1.3.8 Системы архивации данных. Архивы
- 1.3.9 Антивирусология
- 1.3.10 Антивирусная профилактика
- Глава 2. Локальная сеть школы и ее защита
- 2.1 Особенности организации школьной ЛВС
- 2.2 Организация защиты информации на примере школьной ЛВС
- 2.2.1 Организация защиты ресурсов ЛВС с использованием Active Directory
- 2.2.2 Использование групповых политик
- 2.2.3 Безопасное использование Интернет в общеобразовательном учреждении
- Заключение
- Литература
Введение
Актуальность исследования. В настоящее время принято говорить о новом витке в развитии общественной формации - информационном обществе. Информация становится сегодня главным ресурсом мирового сообщества. Практически любая деятельность человека тесно связана с получением, хранением, обработкой и использованием разнообразной информации. Современное общество широко пользуется благами компьютеризации и информатизации. Но пользователям компьютеров и компьютерных сетей следует учитывать, что компьютер может использоваться не только как мощное средство оптимизации и повышения эффективности всех видов деятельности, но и как средство совершения противоправных действий и уголовных преступлений. Чрезвычайно высокую опасность для общества и дополнительные проблемы для правоохранительных органов создают усиливающийся криминальный контроль над глобальными компьютерными сетями, телекоммуникациями и использование информационных технологий как для скрытого получения информации, подготовки и осуществления неправомерных действий в отношении организаций и частных лиц, так и для противодействия правоохранительным органам.
Исходя из сказанного выше, следует, что комплексное обеспечение защиты компьютерной информации, а в более широком смысле обеспечение информационной безопасности объектов и субъектов, связанных с информатизацией и использованием информации, является насущной необходимостью.
Российская школа в настоящее время включается в мировое информационное пространство. Материально-техническое обеспечение благодаря приоритетным программам правительства Российской федерации быстрыми темпами развивается. В рамках НПО "Образование" тысячи российских школ были подключены к сети Интернет. Учителя и ученики получили доступ к обширным информационным ресурсам. Для эффективного использования возможностей компьютерной техники и ИКТ в образовательном процессе усилиями инициативных учителей информатики и "продвинутых" учеников компьютеры объединяют в локальные сети. Все больше документов выполняются и хранятся в электронном виде, а значит на дисках этих компьютеров. Таким образом, возникает необходимость защиты информации внутри школьной ЛВС от несанкционированного доступа пользователей и от разрушения данных при выходе в глобальные сети.
На данный момент лишь немногие учителя информатики имеют необходимые навыки защиты информации от различных способов разрушения, а в программе школьного курса информатики этот вопрос обсуждается с учащимися в недостаточном объеме.
В связи с этим возникает проблема организации защиты информации в школьных ЛВС и преподавания вопросов защиты информации, правовых норм ее использования и этических норм сетевого общения в школьном курсе информатики. Необходимость решения данной проблемы обусловливает актуальность данной работы.
Предмет исследования - информационная безопасность.
Объект исследования - школьные локальные вычислительные сети и их защита.
Цель исследования - изучение и систематизация способов и методов защиты информации и применение их для школьных локальных вычислительных сетей.
Достижение поставленной цели планируется реализовать посредством решения следующих задач:
Изучение нормативных документов и педагогической литературы по вопросам преподавания темы "Защита информации" в школьном курсе информатики;
Изучение вопросов защиты информации от различных способов разрушения (программная и аппаратная составляющая);
Рассмотрение особенностей школьной ЛВС, возможности ее организации в зависимости от потребностей конкретного образовательного учреждения;
Разработка рекомендаций по организации защиты информационного пространства школьной ЛВС от различных способов несанкционированного доступа и разрушения.
Методы исследования: анализ литературы по изучаемой проблеме; сравнение, обобщение, наблюдение; математическая, графическая обработка результатов исследования.
Гипотеза исследования может быть сформулирована следующим образом:
Организация и развитие информационного пространства общеобразовательного учреждения будет успешным при соблюдении следующих условий:
Изучение учителями информатики основных методов защиты информации.
Введение в школьный курс информатики вопросов правовых основ защиты информации
Указанные цели и задачи определяют структуру работы.
Глава 1 "Вопросы защиты информации в школьном курсе информатики" состоит из трех параграфов. В первом рассматриваются основные аспекты преподавания в школьном курсе информатики тем, связанных с защитой информации, анализируются подходы к преподаванию этих тем различными авторами, доказывается необходимость развития их содержания. Второй и третий параграф отражают исследование различных источников, касающихся защиты информации и правовых основ ее использования. Здесь приводятся основные методы и способы организации защиты информации в локальных сетях и при подключении Интернет.
В главе 2 "Локальная сеть школы и ее защита" приводятся результаты практического опыта организации школьной ЛВС на примере МОУ "Средняя общеобразовательная школа №34". В первом параграфе описаны ее особенности, аппаратная и программная реализация. Во втором параграфе рассматриваются основные приемы защиты информации при использовании внутри сети и при подключении к Интернет.
Работа представлена на страницах, включая список литературы из источников и приложений.
Глава 1. Вопросы защиты информации в школьном курсе информатики
1.1 Преподавание правовых основ защиты информации в школьном курсе информатики
1.1.1 "Защита информации" - как тема в школьном курсе предмета "Информатика"
Доктрина информационной безопасности Российской Федерации отмечает несоответствие уровня информационной безопасности потребностям общества и государства. Анализируя состояние информационной безопасности, доктрина требует безотлагательного решения ряда задач для исправления сложившегося положения дел. Среди них присутствует такая задача как "… создание единой системы подготовки кадров в области информационной безопасности и информационных технологий".
Примечательным в курсе информатики является то, что, обучая школьников основам работы на вычислительной технике, различным формам, методам и способам работы с информацией, он не предлагает системы знаний по защите информации.
Большинство утвержденных программ базового курса о защите информации говорят в разделе "Программное обеспечение", где рассматриваются вопросы необходимости использования таких программ, как антивирусы и архиваторы.
В курсе информатики основной школы один-два часа посвящаются опасностям работы в Интернет. Для профильных классов в зависимости от направления делается акцент на правовые нормы защиты информации (экономический профиль), этические нормы сетевого общения (гуманитарный профиль), технические и программные методы защиты информации (технический профиль), криптография (профиль программирования) [25].
Проведенный опрос учащихся 10-х классов (бланк опроса - Приложение 2) показал, что учащиеся в большинстве своем осознают опасности при работе в Интернет (80% опрошенных), но указывают адекватные меры защиты и противодействия очень малое количество старшеклассников - 11%.
Диаграмма 1.
Однако в современных условиях любой участник образовательного процесса рано или поздно становится пользователем компьютера и Интернет. Возникает необходимость выделения основных направлений, пересмотра содержания темы "Защита информации" и ее места в базовом и основном курсе информатики.
Введение учебного модуля "Защита информации" в курсе информатики в средней школе позволит заложить у учащихся базовую систему знаний, умений и навыков по защите информации, которая будет иметь широкое и повседневное использование в практической деятельности многих выпускников школ, вне зависимости от избранной профессии, ибо она востребована реалиями современной жизни.
Получаемая учениками подготовка не должна ориентироваться на выполнение задач защиты информации локальных сетей в роли системного администратора, однако должна быть достаточной для обеспечения ими комплексной защиты персонального компьютера.
Нормативно-правовая база регулирования отношений пользователей, собственников и других держателей информации основана на законодательных актах России: законах РФ "Об информации и защите информации", "О государственной тайне", "Об авторском праве и смежных правах", "Об участии в международном информационном обмене" и др., указах Президента, постановлениях Правительства и других уполномоченных органов. Отношения, связанные с информационными ресурсами и средствами внутри отрасли, региона и пр., определяются их характером, назначением, свойствами, внутренними правилами и нормами работы с ними.
Правовая защита информации (данных) предполагает наличие регламентации прав на информацию; реализации их; контроля за процедурами реализации прав.
Для определения содержания темы "Защита информации" необходимо сформулировать требования к знаниям и умениям учащихся в этом направлении.
Первое требование - Нормативно-правовая база защиты данных. Базой для построения системы защиты данных в целом и правовой защиты данных в частности являются информационные законы Российской Федерации. Основным из них является закон РФ "Об информации, информатизации и защите информации", большое значение которого состоит в том, что он ставит защиту данных в область юридического права и относит ее к приоритетным сферам заботы и ответственности государства.
защита информация школьный локальная
Основными целями и направлениями защиты данных провозглашаются предотвращение потери и искажения данных, несанкционированного использования, угрозы безопасности человеку и государству, защита прав субъектов информатизации. Защита должна производиться как в интересах держателей информации (собственников, владельцев, пользователей), так и людей, имеющих непосредственное отношение к ним (авторов, пациентов медицинских учреждений, предпринимателей).
Закон устанавливает ответственность за нарушение требований и правил защиты информации: административную (наказание, возмещение ущерба), судебную (на уровне арбитражного или третейского суда), уголовную.
Законы РФ "Об авторском праве и смежных правах" и "О правовой охране программ для электронных вычислительных машин и баз данных" создают правовую базу для официального удостоверения и защиты авторских и имущественных прав на информационные продукты, рассматриваемые как произведения, прав на неприкосновенность программы и базы данных или их частей, защиты "чести и достоинства автора".
Правовую базу защиты информации составляют также международные документы и соглашения, признаваемые или подписанные Россией. Это, в частности, Всемирная конвенция "Об авторском праве", ратифицированная СССР в 1973 г. (действительная для РФ как правопреемнице СССР), а также Бернская конвенция о защите интеллектуальной собственности зарубежных физических и юридических лиц, ратифицированная нашей страной в 1995 г.
Учитывая, что в настоящее время, любой пользователь компьютера и Интернет так или иначе может нарушить указанные нормы и законы по причине неосведомленности, правовой безграмотности, изучению их основных положений следует уделить особое внимание
Второе требование - Осуществление правовой защиты информации. Для осуществления защиты, особенно правовой, необходимо четкое и полное представление о:
предмете защите (что надо защищать);
системе защиты (как надо защищать);
процессах защиты (какие процедуры надо выполнить);
средствах защиты (с помощью чего надо защищать).
Поэтому в соответствии с законами России защищаемая информация должна быть документирована, что означает: указание признаков, однозначно определяющих и выделяющих ее среди других информационных блоков (идентификация информации); определение отношений к ней, указание авторов, собственника, других субъектов, а также сведений о них, предусмотренных действующей формой документирования; документированное описание, выполняемое в соответствии с требованиями документирования.
В зависимости от вида информационного продукта требуется подготовка определенных сопроводительных документов, составляющих документированное описание данного продукта, состав которых определяется нормами и порядком этого описания. Документирование информации обеспечивает не только ее однозначное определение, но и, как следствие из этого, длительное хранение в составе соответствующего фонда или банка данных, быстрый поиск, а значит, эффективное и плодотворное использование.
Правовое оформление информации состоит из двух этапов:
документирования информации;
ее официального оформления.
Документирование является первым и необходимым этапом для дальнейшего правового оформления.
Официальное правовое оформление документированной информации производится в соответствии с законодательством России по информатизации и осуществляется в установленных им формах регистрации и депонирования, лицензирования, патентоведения, сертификации.
Решение о добровольном, официальном оформлении информации, (добровольной сертификации, регистрации и т.д.) принимается ее собственником (правообладателем) в целях лучшей реализации своих прав и возможностей. Однако во многих случаях эта операция является необходимым условием для успешной рекламы и распространения (продажи) продукции, защиты авторских прав.
Поскольку учащиеся школы еще до выпуска могут быть авторами информационного продукта, а для некоторых это может стать профессией, вопросы регистрации и сертификации в общем виде должны входить в содержание темы "Защита информации"
Третье требование - Правовая защита государственных информационных ресурсов. Все государственные информационные ресурсы объявляются законодательством открытыми для свободного доступа, кроме информационных ресурсов, отнесенных к категории ограниченного доступа - конфиденциальной информации или имеющей отношение к государственной тайне (законом РФ "О государственной тайне").
Четвертое требование - Правовая защита персональных данных. Под персональными понимаются данные об отдельных физических лицах. Персональные данные отнесены законодательством России к конфиденциальным.
Пятое требование - Правовая защита корпоративных и частных данных. К корпоративным и частным данным относятся все данные, находящиеся в собственности юридических и физических лиц.
Возрастающая осведомленность школьников в области ИКТ, позволяет, с одной стороны, уверенно ориентироваться в море информации, с другой - овладевать способами проникновения в защищенные зоны информационного пространства.
Поэтому учащиеся должны знать, что:
Открытая информация может не только просматриваться, но и использоваться для получения производной информации, в том числе, и в коммерческих целях. Однако при этом обязательны ссылки на источник информации.
Использование персональных данных тоже защищено законом. Государственный сбор, документирование, передача и распространение таких данных, согласно закону РФ "Об информации, информатизации и защите информации" разрешены только по соответствующему решению суда. Законом запрещено любое использование персональных данных "в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации". Физические (равно как и юридические) лица имеют право знать о целях и употреблении предоставляемой ими информации, а также хранимых данных о них (с правом бесплатного пользования); "ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации"
Хранение и защита от несанкционированного доступа к персональным данным, находящимся в личном пользовании соответствующей персоны, возлагается на эту персону.
Шестое требование - Ответственность за нарушения защиты данных. Ответственность за нарушения правил и требований правовой защиты данных, нарушения прав субъектов в сфере формирования и пользования информационными продуктами, а также международных норм предусмотрена законодательством России, в частности, законами РФ "Об информации, информатизации и защите информации" и "Об участии в международном информационном обмене".
За нарушение действующего законодательства предусмотрена административная и судебная ответственность, которая в зависимости от состава правонарушения может осуществляться судом. На виновных налагается уголовная ответственность или обязанность возмещения ущерба пострадавшим.
Новый Уголовный Кодекс (УК) России, действующий с 1 января 1997г., предусматривает уголовное наказание за совершение компьютерных преступлений, в число которых, в частности, входят:
несанкционированный доступ к защищаемой информации;
несанкционированное изменение информации;
неправомерное использование и владение информацией;
изготовление и сбыт средств для несанкционированного доступа к информации, использования;
компьютерный саботаж: уничтожение, блокирование, приведение в негодность программ или информации, выведение из строя компьютерного оборудования.
Уголовный Кодекс содержит специальную главу: "Компьютерные преступления". Основными статьями, квалифицирующими уголовные компьютерные преступления и устанавливающими меру наказания за них, являются следующие.
Статья 238 "Выпуск или продажа, выполнение работ либо оказание услуг, не отвечающих требованиям безопасности".
Статья 272 "Неправомерный доступ к компьютерной информации". Статья предусматривает наказание за несанкционированный доступ к охраняемой законом информации на машинном носителе или в сети, который повлек что-либо из следующего:
уничтожение, модификацию или копирование информации;
нарушение работы ЭВМ или сети.
Наказание за несанкционированный доступ к информации и ее использование предусматривают также:
статья 183 главы 22 "Преступление в сфере экономической деятельности" (коммерческая тайна);
статья 137 главы 19 "Преступления против конституционных прав и свобод человека и гражданина" (персональные данные);
статьи 275 и 276 главы 29 "Преступления против основ конституционного строя и безопасности государства" (государственные информационные ресурсы, информационная безопасность);
статья 273 "Создание, использование и распространение вредоносных программ для ЭВМ". В качестве таких программ имеются ввиду программы-вандалы, "троянские кони", всевозможные вирусы и другие программы, блокирующие ЭВМ, уничтожающие или искажающие информацию. Наказание предусмотрено как за создание, так и за использование или распространение таких программ.
статья 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети". Наказанию подлежат лица, причинившие своими действиями существенный вред информационным процессам либо повлекшие потерю или искажение информации.
Девиантное поведение подростков может выражаться сегодня не только в хулиганстве, физическом насилии, употреблении наркотиков и алкоголя. "Интеллектуальное" хулиганство юных "хакеров", хотя и кажется менее вредоносным, тем не менее, должно пресекаться. Часто подобные действия совершаются по причине убеждения в безнаказанности. Рассмотрение в школьном курсе информатики вышеуказанных статей Уголовного Кодекса с указанием возможного наказания способно предотвратить компьютерное хулиганство.
Следует, однако, помнить, что запретительные меры никогда не были особенно эффективны. Педагогическое мастерство, интуиция, такт, должны подсказать учителю, как использовать талант "хакера" в направлении созидания, а не разрушения. Воспитательный момент здесь несет и грамотная организация защиты информации в ЛВС школы, о чем пойдет речь в главе 2.
Седьмое требование - Организация физической защиты данных предполагает определение и планирование состава задач, процедур, технических, системных и программных средств хранения данных; создание системы хранения данных, служб, групп, распределение обязанностей и ответственности.
Содержание данного направления, в отличие от предыдущих, может варьироваться в зависимости от профиля класса: от пользовательского уровня для классов общеобразовательного, гуманитарного и подобных профилей до уровня начинающего системного администратора в технических классах. Список вопросов может включать в себя:
Выбор аппаратуры, средств коммуникации, системных средств и программных оболочек.
Разграничение степени и регулировка порядка доступа к узлам, компьютерам, информационным системам, файлам, каталогам, возможность их корректировки, копирования или удаления.
Криптография.
Защита данных при аварийных ситуациях - Сбои и поломки аппаратуры или системы (выход из строя компьютерной техники, средств коммуникации, обрыв линий связи, потеря работоспособности носителей данных, неисправность в операционной системе, отказ в работе программно-информационных средств или их уничтожение.)
Хищение, умышленная порча информации, вандализм.
Организация восстановления данных.
1.1.2 Содержание учебного модуля "Защита информации"
Модульный принцип формирования учебного материала в курсе "Информатика" позволяет включать новые разделы, необходимость изучения которых вызывается (впрочем, как и содержание всего обучения в школе) потребностями общества.
Уровневое деление содержания, формулирование требований к знаниям и умениям учащихся должно адаптировать модуль к циклической модели построения школьного курса информатики: тема рассматривается на протяжении всего периода изучения предмета, но на каждом уровне (пропедевтический, базовый, профильный) все более углубленно и расширенно.
Модуль может включать следующие темы [29]:
Теоретические основы защиты информации.
Защита информации средствами операционной системы.
Защита и восстановление информации на жестких дисках.
Основы криптографии.
Защита информации в локальных и глобальных сетях.
Правовые основы защиты информации.
Содержание модуля требует от преподавателя привлечение дополнительных источников информации, так как в учебниках, разрешенных к использованию, данные вопросы рассмотрены недостаточно. Ориентиром для учителя может служить тезисное изложение содержания тем "Защита информации" и "Информационная безопасность" профессором В.А. Кайминым (см. Приложение 3, Приложение 4).
Изучение каждой темы в курсе "Защита информации" должно предусматривать проведение теоретических и практических занятий и основываться на знании базовых разделов информатики и информационных технологий. В конце изучения каждой темы проводится контроль качества ее усвоения в форме контрольной работы. Завершается курс итоговой контрольной работой, содержащей комплексное задание по содержанию всего курса. Итоговая контрольная работа может быть заменена проектным заданием, выполнение которого требует не только знания содержания темы, но и практических умений, навыков исследовательской деятельности, творческого подхода. Результаты проектной деятельности представляются публично, что служит развитию коммуникационных навыков, умения защищать свое мнение, критично и доброжелательно относиться к суждениям оппонентов.
Возможные темы проектов:
Тема проекта и форма реализации |
Примерное содержание проекта |
Практическая значимость проекта |
|
Правовые аспекты информационной деятельности (документ, инструкция по эксплуатации программного обеспечения, брошюра: оформляется на компьютере) |
Анализ актуальности проблемы защиты информации. Обзор нормативно-законодательной литературы и создание справки по проблеме. Обзор лицензированного программного обеспечения, используемого в административно-управленческой, учебной, деятельности в школе. Описание программной защиты информации, разграничения уровней доступа к общему ресурсу на магнитном диске |
Сохранность программного обеспечения школы, защита от вирусов, обновление программного обеспечения |
|
Компьютер и здоровье (презентация) |
Исследование нормативных документов по технике безопасности и санитарным нормам работы с вычислительной техникой. Разработка школьной инструкции по направлениям: электробезопасность, пожаробезопасность, требования к рабочему месту, профилактика здоровья. Формирование компьютерной презентации. Разработка тестов для проведения инструктажа в компьютерном классе школы |
Регулярный инструктаж по технике безопасности учащихся школы |
Отличительной особенностью курса "Защита информации" должно являться дополнительное программное и техническое обеспечение уроков. Выполнение практических заданий по внесению элементов защиты в настройки операционной системы и программного обеспечения персонального компьютера, а также выявлению и устранению неисправностей на жестких дисках требует как высокой подготовленности учителя, так и резервирования жестких дисков ЭВМ компьютерных классов программными и аппаратными методами.
Формирование информационного общества, предусматривает рост правовой культуры населения, немалое место в которой занимает культура работы с информацией. Восполнение пробела в этой области предусматривает заключительная тема "Правовые основы защиты информации". Полученные знания о своих правах и обязанностях в информационной сфере, а также об обязанностях должностных лиц государственных и иных учреждений перед гражданами, поможет современной молодежи защитить не только имеющуюся информацию, но и свои права и свободы человека и гражданина.
Тема "Правовые основы защиты информации" является обязательной для рассмотрения вне зависимости от профиля класса. Приведем пример почасового планирования темы для учащихся 10 класса.
Урок.1. Доктрина информационной безопасности Российской Федерации.
Урок 2. Закон РФ "О государственной тайне".
Урок 3 - 4. Закон РФ "Об информации, информатизации и защите информации".
Урок 5. Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных".
Урок 6. Закон РФ "Об электронной цифровой подписи".
Урок 7. Уголовная ответственность, наступающая за преступления в информационной сфере.
Урок 8. Контрольная работа.
Серия уроков по теме "Защита информации" была проведена для учащихся 10-х классов МОУ СОШ №34 г. Каменска-Уральского. Для итогового контроля была выбрана проектная форма. Результаты показали повышение уровня знаний по данной теме. В качестве выходной диагностики учащимся вновь было предложено заполнение таблицы "Опасности в Интернет". Адекватные меры защиты были выбраны 78% опрошенных по сравнению с 11% до изучения темы.
Диаграмма 2.
1.2 Организация защиты информации (программная составляющая)
1.2.1 Назначение программной защиты данных
Программная защита данных - это комплекс мероприятий по разработке, внедрению и организации функционирования специализированного программно-информационного обеспечения, предназначенного для защиты данных. Прежде всего, это средства программной организации доступа к данным, аппаратуре, носителям данных, а также средства восстановления частично или полностью утерянных или искаженных данных.
Программная защита данных является центральной в системе защиты данных: на этом уровне силами и средствами системного и прикладного программного обеспечения решаются все злободневные проблемы взаимодействия пользователей с информацией и взаимоотношения различных групп пользователей, разработчиков, владельцев информационных массивов и программных средств.
Программная защита данных предполагает решение следующих трех основных задач:
1) Обеспечение целостности, защита от непредусмотренных и несанкционированных изменений данных:
обеспечение защиты операционной системы, внутренней и внешней памяти компьютера от порчи или потери;
ведение учета состояния данных и всех его изменений; восстановление данных при нарушении их целостности.
2) Обеспечение доступности, защита данных от неправомерного и несанкционированного удержания:
обеспечение доступа к информации и/или возможности ее изменения всем лицам и организациям, имеющим соответствующее право;
защита данных при их коммуникации, в том числе, средствами электронной почты, обеспечение доступа к сетевым данным.
3) Обеспечение конфиденциальности, защита данных от несанкционированного доступа и использования:
классификация данных по степени конфиденциальности и доступа к ним, назначение ключей, паролей, шифров и пр.;
обеспечение конфиденциальности данных, защита их от несанкционированного доступа.
В систему программной защиты данных могут входить средства защиты операционной системы и ее конфигурации, программного и информационного обеспечения от потерь и несанкционированного доступа системы доступа к информации по ключам и паролям, средства архивации данных на машинных носителях, в том числе, под паролями, антивирусные и профилактические средства, средства кодирования и раскодирования данных, средства восстановления данных при их частичной и полной утрате, автоматизированная система копирования и дублирования наборов данных на архивные носители, система программ и утилит по восстановлению наборов данных с архивных или эталонных носителей.
Разработка программной защиты данных предполагает создание вышеперечисленных средств и обеспечение их бесперебойной и надежной работы; распределение данных и системы их обработки в компьютерных сетях, обеспечивающих максимальную надежность их хранения и передачи.
1.2.2 Типы программной защиты
Программная защита разделяется на несколько типов:
тип использования: (уровни пользователя и профессионала-разработчика);
тип защищаемой информации: память, данные, программа;
тип защиты: восстановление данных, защита от несанкционированного доступа, изменения, копирования и т.д.;
тип объекта защиты: операционная система, отдельная программно-информационная система, комплексная защита данных в масштабах учреждения, ведомства, глобальной сети;
тип средства защиты: программа, утилита, функция и пр.
На профессиональном уровне программная защита данных организуется и создается специальными службами в ходе разработки прикладного программного обеспечения; внедрения и адаптации специализированных системных и стандартных средств.
К этому типу относится разработка всех форм и средств защиты - программной, физической, правовой, включая антивирусные программы, архиваторы и пр. На стадии проектирования систем или в ходе их функционирования разработчики предусматривают средства защиты с учетом степени важности и конфиденциальности данных этих систем. В зависимости от объекта защиты, технологии их разработки, а также, разумеется, творческих потенциалов автора выбираются или создаются те или иные средства защиты.
На уровне пользователя осуществляется выбор и применение подходящих средств защиты памяти компьютера, данных или информационной системы, ограничения доступа к ним. Обычно это стандартизированные средства, рассчитанные на массовое применение по отношению к определенному типу информации. Это могут быть программы преобразования (шифрования и дешифрования) или восстановления данных, зашиты программных модулей, система ключей и паролей.
Средством защиты могут, в частности, быть специальная программа или утилита, загружаемая в оперативную память по мере необходимости; резидентная программа, проверяющая целостность данных (файлов); функции и процедуры в составе программного обеспечения баз данных, программно-информационных комплексов: преобразование, проверка ключей и паролей, структуры и содержания данных.
1.2.3 Схема системы программной защиты
Организация доступа к данным
Паспортизация данных, пользователей, разграничение полномочий.
Защита программ от несанкционированного и нелегального использования
Криптография данных
Защита дискет от копирования
Защита данных при передаче
Борьба с компьютерным пиратством
Программная защита данных
Программное восстановление данных
Средства программной защиты: личные, стандартные, специальные
Режим функционирования средств защиты: автономный, автоматизированный
1.2.4 Классификация средств защиты
Средство защиты может быть встроено в программу разработчика в виде отдельных процедур или функций и вместе с ней скомпилировано и сформировано в единый загрузочный модуль. Обычно такая защита подготавливается самим разработчиком основного продукта. Достоинство ее в своей оригинальности, независимости от внешних факторов, может быть, дешевизне. Однако такой подход вряд ли совершенен, а главное, часто грешит "самодеятельностью" и не обеспечивает полноты и надежности защиты. Чтобы грамотно и профессионально выполнить защиту, автору разработки надо немало изучить и потратить усилий и времени, сравнимых с затраченными на основную работу.
Второй подход - это подключение стандартизированных средств защиты к продуктам информатизации на стадии их распространения или внедрения в конкретную операционную среду. Как правило, эти средства защиты подготавливаются людьми, специализирующимися на этом поле деятельности, и распространяются в качестве программных продуктов, т.е. рассчитаны на массовое применение. В этом случае программы защиты и загрузочные модули пользователя формируются независимо друг от друга. Этот подход явно удобнее и предпочтительнее, так как: выше уровень защиты: она создается профессионалом, знающим, что именно надо защищать и как это осуществить; налицо разделение труда, когда каждый занимается своим делом, что, естественно, гарантирует большую эффективность и производительность; универсальность средства: однажды созданное оно приложимо к большому классу программно-информационных продуктов; осуществимы учет и классификация средств защиты, их выбор для защиты информационных ресурсов (в том числе и государственных) или определение возможности применения. Кроме того, стандартные средства защиты более удобны в применении. Представленные в виде пакета модулей (программ, рабочих файлов, инструкций) в отдельном каталоге диска или на дискете, они всегда готовы к употреблению и более универсальны. Выделяется также класс специальных средств защиты государственных информационных ресурсов, подготавливаемых специализированными службами по лицензии уполномоченных органов.
1.2.5 Выбор средства защиты
Степень и надежность защиты данных (файла, программы, дискеты) от копирования зависит от используемого средства защиты. Напрашивается, казалось бы, очевидный вывод: чем лучше средство защиты, тем оно предпочтительнее для применения. Однако это далеко не так.
Во-первых, любая защита не является абсолютно надежной. Для профессиональных "взломщиков" не составляет большого труда ее преодоление, обход, разрушение. Любые шифры, ключи и пароли устанавливаются и сохраняются лишь на ограниченное время, в течение которого по предположению авторов защиты взломщики не успеют их разгадать и разрушить. Поэтому никогда нельзя исключить вероятность того, что дорогие хлопоты по защите могут оказаться напрасными.
Во-вторых, хорошее и надежное средство защиты может оказаться дороже самого объекта защиты.
Удорожание продукта может, в свою очередь, отрицательно повлиять на его реализацию, продажу. Зачем тогда все труды по его созданию и защите?
В этом случае лучше выбрать относительно надежное, но сравнительно недорогое средство защиты. Профессионалам, специализирующимся на присвоении чужих программ, пиратам от информатики выгоднее заниматься дорогими, крупными разработками: затраты их труда по разрушению защиты меньше затрат на создание продукта. Поэтому в этом случае нужна более тщательная защита, хотя и она, как видно, не гарантирует успех. Средство защиты от копирования файлов или дискеты не должно затруднять инсталляцию и использование программного продукта. Иначе, опять же, дополнительные сложности (необходимость ключевой дискеты, например) снизят реализацию защищаемого продукта. Функциональные свойства выбираемого средства защиты зависят от цели его применения. Для защиты информационных объектов на конкретных компьютерных системах необходимы средства по предотвращению несанкционированного доступа и использования. Для защиты информационной продукции требуются средства, предотвращающие ее неконтролируемое распространение.
1.2.6 Борьба с пиратством
Пиратство является одним из нецивилизованных и даже криминальных проявлений в отношениях, устанавливающихся на рынке программно-информационных продуктов. Вместо того, чтобы приобрести ту или иную разработку или информацию на законных основаниях, недобросовестные пользователи зачастую стараются правдами, а больше неправдами, найти обходные пути для их перетаскивания на свой компьютер и последующего незаконного использования. Другие пытаются продать то, что им не принадлежит или то, что они не имеют права распространять. Борьбу с проявлениями пиратства следует вести по всем возможным направлениям и всеми возможными способами, в частности:
более четким и полным правовым регулированием отношений в области информатизации;
запретительными мерами, методами выявления и наказания;
защитой данных от несанкционированного доступа и копирования;
экономическими мерами и созданием соответствующих условий;
повышением культуры отношений и обращения с программными продуктами.
Правовое регулирование должно предусматривать, разумеется, не только сами отношения между субъектами и объектами информатизации, но и отношения к проявлениям недобросовестного обращения с этими объектами. Регулирование должно обеспечить организацию достаточно быстрого и удобного оформления авторских и имущественных прав на продукты информатизации, документирования информации, а также эффективной и действенной правовой защиты документированной, патентованной и зарегистрированной информации, ее правообладателей.
Акты пиратства и злоупотреблений должны не только не приветствоваться, но и преследоваться.
Защита от копирования является относительно эффективным и надежным средством, хотя и не может дать абсолютных гарантий: любую защиту можно при большом желании снять, разрушить.
Системой запретов и преследований, а также защитой от копирования проблему пиратства, конечно, не решить. В условиях насыщенности рынка программно-информационных продуктов пользователь при прочих равных условиях выбирает тот из них, который проще установить, т.е., не защищенный. Поэтому на многих западных программных разработках отсутствует какая-либо защита. Считается, что гораздо более эффективным средством является создание условий, при которых пиратство будет экономически и функционально невыгодным. Для того, чтобы потенциальному пользователю программного продукта было удобнее его приобрести у законного владельца, чем красть или переписывать у товарищей, возможны разнообразные средства и создание соответствующих условий:
предоставление гарантий качества, безопасности, функциональной полноты, надежности работы и пр.;
сдача (установка) продукта "под ключ", обучение пользователей;
возможности обратиться с претензиями по функционированию, с предложениями к изготовителю или жалобами на него;
возможности получить консультацию или разъяснение по интересующим вопросам, посетить семинары, конференции, посвященные состоянию данного продукта и его использования, вступить в ассоциацию пользователей этого продукта и т.д.;
предоставление права на приоритетное и льготное приобретение новых версий продукта, полученных в процессе его развития;
снижение цен, всевозможные скидки для оптовых, повторных покупок продуктов, установление взаимовыгодных отношений, дилерства, дистрибьютерства и пр.
Таким образом, создаются условия для долгосрочных отношений с потребителями, рассчитывающими на приобретение информационных продуктов в их развитии в авторском сопровождении. Экономические условия выражаются и в следующем. Желая продать свою разработку, автор должен ее документировать, оформить и/или сертифицировать, указав при этом все используемые продукты, которые, разумеется, не могут иметь пиратское происхождение. Другими словами, поскольку конечной целью использования программного обеспечения является создание своего производного продукта, нелегальное приобретение необходимых для работы средств становится бессмысленным и неэффективным.
1.2.7 Защита операционной системы
Защита операционной системы заключается в обеспечении условий и режимов надежного сохранения и нормального функционирования самой системы, всего программно-информационного обеспечения, работающего под ее управлением, а также средств взаимодействия с ней. Защита системы имеет два уровня - уровень ее разработчика, изготовителя и уровень пользователя. На уровне пользователя предпринимаются меры по физическому сохранению системы (модулей, драйверов, библиотек) и обеспечению их совместимости между собой, а также с другими модулями. От пользователя зависит степень использования внутренних ресурсов и возможностей системы для защиты данных.
Функциональные средства ядра операционной системы обеспечивают защиту ее целостности и работоспособности, а также содержимого рабочих областей оперативной памяти компьютера и хранение информации на внешних носителях. Операционная система должна обладать возможностями для создания контролируемой системы доступа к данным, исключающей несанкционированное пользование информацией. Организационные и сервисные средства операционной системы - это программы ее библиотеки по физической защите и восстановлению наборов данных и их носителей. Совокупность вышеназванных средств должна обеспечить возможность организации эффективной системы защиты данных (программной, физической).
Современная операционная система должна обладать всеми возможностями для защиты конфиденциальных данных на терминалах пользователей или на файл-серверах компьютерных сетей при их обработке и передаче по каналам связи. Существует ряд стандартов для операционных систем, на которые ориентируются производители операционных систем, а также производят сертификацию на соответствие им.
1.2.8 Программная организация доступа
В зависимости от решаемых задач, характера обрабатываемой информации и средств ее обработки требуется регулирование области доступа к ним, возможности их модификации, копирования. Для этого требуются различные средства диспетчеризации обращения и взаимодействия с защищаемыми объектами.
Защита может быть добровольной, когда пользователь или разработчик системы сам решает о ее необходимости, и обязательной, когда решение о защите принимается на основании характера или принадлежности информации к определенному классу либо на основании планов и решений, принятых на уровне корпорации (ведомства). Так, информация, относящаяся к государственным информационным ресурсам и представляющая предмет ограниченного доступа и распространения, подлежит обязательной защите.
Программная организация доступа предусматривает создание системы паспортизации данных, системы управления доступом; системы учета работы с данными и регистрацию изменений.
Автоматизация информационных процессов предполагает, что все это должно быть выражено программными средствами и реализовано в соответствующих информационных системах и специализированных средствах защиты данных.
Создание системы доступа предполагает решение множества задач, решаемых как непосредственно силами и средствами программной защиты, так и в процессе взаимодействия с системами правовой и административной защиты, которое выражается, в частности в создании структуры доступа и его средств, программных, криптографических, системы паролей, в организации системы доступа, с определением и установлением множества отношений между различными информационными массивами, их собственниками, владельцами и пользователями, в создании и/или внедрении программных средств защиты.
1.2.9 Защита информационных систем
Защиту информационной системы следует рассматривать в двух аспектах:
1) защиту ее содержания и целостности;
2) защиту от несанкционированного доступа и копирования.
Защита содержания состоит в предотвращении случайного или умышленного его уничтожения или искажения. Об этом должны заботиться и пользователь системы (применяя средства физической защиты данных), и ее разработчик (изготовитель), поскольку именно он отвечает за достоверность и полноту информационных ресурсов системы.
Современные операционные и инструментальные системы предлагают достаточно широкий спектр такой защиты. Можно, например, при подготовке пакета для использования изменить статус файлов на Read-Only, или применять специальные утилиты из библиотеки системы для защиты и восстановления файлов.
Информационная система содержит множество файлов, составляющих ее информационные ресурсы, и программные модули системы управления и обработки этих ресурсов. В соответствии с этим защита информации от несанкционированного доступа подразделяется на два типа защиты: программ и рабочих файлов.
Программы - исполнимые файлы, поэтому их защита заключается в создании такого режима, когда они не будут работать без выполнения определенных условий. А в другом качестве они практически бесполезны для обычного пользователя.
Текстовые, табличные или графические файлы можно прочитать, просмотреть, модифицировать, переписать самыми различными способами, с помощью специализированных редакторов и других программ. В сети, информационной системе можно предусмотреть множество ключей и паролей, ограничивающих доступ к узлам сети, каталогам и файлам. Но обычно имеется достаточно возможностей обращения к файлам с помощью вышеперечисленных средств. Поэтому защита файлов заключается в представлении их данных в форме, недоступной для восприятия, зашифрованном, архивированном виде, упакованном формате и т.д. Такое представление позволяет предохранять от ненужных изменений и физическое состояние файлов.
Шифрование файла заключается в разработке некоторой системы замены кодов символов данных на другие; кодировании защищаемых файлов в соответствии с этой системой; выполнении функций кодирования и раскодирования файлов или блоков данных при их обработке и ее завершении. Некоторые архиваторы (Zip, Rar) позволяют создавать архивы с заданием пароля, который надо указать при разархивировании. Такой файл будет достаточно надежно защищен.
1.2.10 Система криптографии данных
Создать и реализовать систему шифрования данных, в принципе, технически несложно. Однако при ее использовании могут возникнуть следующие проблемы, связанные с уменьшением производительности системы, увеличением времени шифрования и дешифрования данных; достижением требуемого уровня секретности; надежностью функционирования системы: нечеткость или несовершенство алгоритма могут привести к потере данных, невозможности их восстановления (следует иметь эталонный экземпляр информационных массивов).
Построение хорошей и надежной системы криптографии (шифрования) данных является сложным и дорогостоящим делом, затраты труда на которую сравнимы с созданием большой системы. Поэтому лучше пользоваться средствами, разработанными специализированными службами по алгоритмам, проверенными теорией и практикой. Различают симметричные и асимметричные алгоритмы криптографии.
Симметричный алгоритм использует секретный ключ общей длиной в 64 бита и обеспечивает наличие почти 1017 переборов вариантов кодирования. При обмене информации с использованием этого алгоритма криптографии пользователи (источник и адресат) должны иметь общий для них секретный ключ, который они устанавливают заранее. Симметричная система защиты предполагает закрытое применение информации и предназначена, прежде всего, для государственной информации с ограниченным режимом пользования.
Асимметричный алгоритм криптографии использует разные ключи для шифрования и дешифрования. Один открытый ключ используется для шифрования информации. Этот ключ можно дать всем потенциальным корреспондентам пользователя компьютера. Присылаемую ими информацию, зашифрованную данным открытым ключом, может расшифровать только этот пользователь с помощью своего секретного ключа. Длина ключа не фиксирована, чем он длиннее, тем выше уровень шифрования. При этом, однако, увеличиваются процедуры шифрования и дешифрования. Асимметричный способ криптографии предполагает открытый способ взаимодействия, позволяющий создавать собственные системы шифрования. Такие системы применяются при коммуникации коммерческих данных.
Подобные документы
Определение понятия "компьютерные вирусы" и их классификация, основные признаки заражения и методы защиты информации от вредоносных программ. Теоретические аспекты рассмотрения темы "Защита информации" в государственном общеобразовательном стандарте.
курсовая работа [43,1 K], добавлен 10.09.2011Место темы в школьном курсе информатики и ее содержание. Требования к заданиям для среднего школьного возраста по теме "Моделирование и формализация". Основные условия и факторы эффективного обучения учащихся 7 класса информационному моделированию.
дипломная работа [2,5 M], добавлен 13.06.2013Особенности формирования ключевых компетенций на уроках информатики. Методические рекомендации при изучении темы поиска и хранения информации в базовом курсе информатики. Рекомендации по организации практической работы. Примеры планов-конспектов уроков.
дипломная работа [105,7 K], добавлен 24.06.2011Разновидности компьютерной графики. Обучение графическим редакторам в курсе информатики и ИКТ, на внеучебных занятиях. Анализ графических редакторов, представленных в школьной программе. Методические аспекты в преподавание основных школьных редакторов.
курсовая работа [27,6 K], добавлен 14.10.2012Историческое начало и элементы педагогической техники. Педагогическое разрешение и создание конфликта. Ознакомление с особенностями организации и проведения личностно-ориентированных и компьютерных телекоммуникаций в школьном курсе информатики.
дипломная работа [1,0 M], добавлен 10.03.2012Сущность и особенности изучения программного обеспечения ЭВМ в школьном курсе информатики. Характеристика основных устройств компьютера. Разработка учебного курса дисциплины "Основы информатики и вычислительной техники" в общеобразовательной школе.
курсовая работа [35,7 K], добавлен 26.11.2012История и роль школьного предмета "Информатика". Общие вопросы изучения алгоритмизации и программирования в школьном курсе информатики. Основные методы преподавания темы "Основы алгоритмизации и программирования". Разработка урока по исследуемой теме.
курсовая работа [55,5 K], добавлен 22.11.2011Мировоззренческие аспекты образования: проблема формирования системы идеалов, ценностей, жизненных смыслов. Содержание, структура учебного курса информатики. Особенности методик преподавания предмета как фактор формирования мировоззрения школьников.
дипломная работа [80,9 K], добавлен 20.06.2011Общие сведения о школьном курсе информатики, его цели и задачи. Разработка содержания, форм и средств методики преподавания темы "Глобальная сеть Интернет" в 11 классах экономического профиля. План-конспект лекции, комбинированного и практического урока.
курсовая работа [2,8 M], добавлен 30.11.2010Язык программирования HTML: его мультимедийные и графические возможности. Требования к оформлению и созданию Web-сайтов. Методические разработки по изучению "Web конструирования" в школьном курсе информатики и информационно–коммуникационных технологий.
курсовая работа [40,7 K], добавлен 12.09.2012