Захист комп'ютерів від несанкційованого доступу

Размещено на http://www.allbest.ru/

СПИСОК УМОВНИХ ПОЗНАЧЕНЬ ТА СКОРОЧЕНЬ

ASCII - American Standard Code for Information Interchange - американський стандартний код для обміну інформацією

CPU - Central Processing Unit - центральний процесор.

DRAM - Dynamic Random Access Memory - динамічна пам'ять із довільним доступом.

RAM - Random Access Mеmory - пам'ять із довільним доступом.

ROM - Read-Only Memory - пам'ять тільки для читання.

SDRAM - Synchronous Dynamic Random Access Memory - синхронна динамічна пам'ять з довільним доступом.

SRAM - Static Random Access Memory - статична пам'ять із довільним доступом.

АЛП - арифметико-логічний пристрій

ВІС - висока ступінь інтеграції

ДШу - дешифратор

ЕОМ - електронно-обчислювальна машина

ЕП - елемент пам'яті

ЗП - запам'ятовуючий пристрій

КП - кеш-пам'ять

КІС - комп'ютерні інформаційні системи

ЛЗЗ - лінії запису-зчитування

ОЗП - оперативний запам'ятовуючий пристрій

ПК - персональний комп'ютер

ППЗП - перепрограмованою запам'ятовуючий пристрій

РПЗП - репрограмований запам'ятовуючий пристрій

ТОВ - Товариство з обмеженою відповідальністю

ФЗЗ - формувачів сигналу запису-зчитування

ША - шина адреси (адресна шина)

ШД - шина даних

ШК - шина керування

ВСТУП

Дипломний проект орієнтується на поглиблені знання з теорії та практики побудови і використання комп'ютерних систем від несанкціонованого доступу. Основним пріоритетом є вивчення архітектури сучасних КІС, технології розв'язання економічних завдань у умовах функціонування КІС, основних видів документообігу на корпоративному підприємстві. Темою дипломної роботи є захист комп'ютерів від несанкціонованого доступу.

Актуальністю роботи виступають комп'ютерні cистеми, які активно впроваджуються у фінансові, промислові, торгові і соціальних сферах. Внаслідок цього різко зріс інтерес широкого кола користувачів до проблем захисту інформації. Захист інформації - це сукупність організаційно-технічних заходів і правових норм для попередження заподіяння збитку інтересам власника інформації. В останні роки з розвитком комерційної і підприємницької діяльності збільшилося число спроб несанкціонованого доступу (НСД) до конфіденційної інформації на прикладі ТОВ «WED».

Завданням ТОВ “WED” є продаж комп'ютерів та комп'ютерних систем та їх ремонт та обслуговування в Черкаському регіоні.

Завдяки правильної маркетингової політики “WED” є одним з найкращих підприємств по продажу комп'ютерних технологій, що дало великий поштовх для відкриття нових центрів, філій магазинів не тільки у м. Черкаси, а й у м. Сміла та в всесвітній мережі Інтернет.

З розвитком ІТ технологій з'являються нові системи управління корпоративним підприємством, контролем над операціями в підприємстві, передачі інформації та її захист. Захист інформації на підприємстві “WED” грає велику роль для забезпечення стабільної роботи всього корпоративного підприємства та філій зокрема.

Дипломний проект має мету: дослідити системи захисту інформації на корпоративних підприємствах та впровадження них за новими стандартами.

Основною новизною в провадженні захисту інформації на підприємстві “WED” є:

– Встановлення технічних засобів безпеки на підприємстві.

– Встановлення паролів до всіх технічних та програмних засобів

– Встановлення електронного підпису для кожних відділів, філій та осіб.

– Вибір та встановлення систем резервного копіювання інформації.

– Вибір та встановлення антивірусних програм.

– Вибір та використання криптографічного захисту інформації.

Технічні та програмні засоби захисту інформації повинні покращити якість роботи підприємства, забезпечити стабільність та швидкість використання інформації та захисти її від несанкціонованого використання.

Дипломний проект складається з трьох частин. Перший розділ містить характеристику загроз безпеки та порушників інформації. В другій частині проводиться методика обстеження підприємства “WED”. Під час дослідження формується інформаційна модель організаційно-структурної схеми підприємства та документообігу на підприємстві між його філіями.

АНАЛІТИЧНА ЧАСТИНА

1. Сучасний стан інформаційної безпеки. Проблеми захисту комп'ютерної інформації

1.1 Інформація як об'єкт захисту

Широке використання інформаційних технологій у всіх сферах життя суспільства робить досить актуальною проблему захисту інформації, її користувачів, інформаційних ресурсів, каналів передачі даних від злочинних зазіхань зловмисників.

Концентрація інформації в комп'ютерах (аналогічно концентрації готівки в банках) змушує одних усе більш підсилювати пошуки шляхів доступу до інформації, а інших, відповідно, підсилювати контроль над нею з метою захисту.

Складність створення системи захисту інформації визначається тим, що дані можуть бути викрадені з комп'ютера (скопійовані), одночасно залишаючись на місці. Цінність деяких даних полягає у володінні ними, а не в їх знищенні або зміні.

Забезпечення безпеки інформації - справа дорога, і не стільки через витрати на закупівлю або установку різних технічних або програмних засобів, скільки через те, що важко кваліфіковано визначити межі розумної безпеки і відповідної підтримки системи в працездатному стані.

Об'єктами зазіхань можуть бути як самі матеріальні технічні засоби (комп'ютери і периферія), так і програмне забезпечення і бази даних.

Кожен збій роботи комп'ютерної мережі - це не тільки моральний збиток для працівників підприємства і мережевих адміністраторів. В міру розвитку технологій електронних платежів, «безпаперового» документообігу серйозний збій локальних мереж може паралізувати роботу цілих підприємств, що приведе до відчутних збитків. Не випадково захист даних у комп'ютерних мережах стає однією із найгостріших проблем.

Забезпечення безпеки інформації в комп'ютерних мережах припускає створення перешкод для будь-яких несанкціонованих спроб розкрадання або модифікації даних, переданих у мережі. При цьому дуже важливо зберегти такі властивості інформації, як:

– доступність,

– цілісність,

– конфіденційність

Доступність інформації - здатність забезпечувати своєчасний і безперешкодний доступ користувачів до інформації, яка їх цікавить.

Цілісність інформації полягає в її існуванні в неспотвореному вигляді (незмінному стосовно деякого фіксованого її стану).

Конфіденційність - це властивість, що вказує на необхідність введення обмежень доступу до даної інформації для визначеного кола користувачів.

Для того, щоб правильно оцінити можливий реальний збиток від втрати інформації, що зберігається на комп'ютері, необхідно знати, які загрози при цьому можуть виникнути і які адекватні заходи для її захисту необхідно приймати.

У сучасному світі є дуже небагато речей, які можна зробити, не збираючи, узагальнюючи, генеруючи або не маючи доступу до інформації. М.Вінер визначав інформацію як “позначення змісту, отриманого із зовнішнього світу в процесі нашого пристосування до нього і пристосування до нього наших почуттів. Процес отримання і використання інформації є процесом нашого пристосування до випадковостей зовнішнього середовища і нашої життєдіяльності в цьому середовищі”[1]. Іншими словами, під інформацією розумівся засіб, що дозволяє зняти невизначеність у пізнанні того чи іншого об'єкта.

Відштовхуючись від засобу зберігання і передачі, можна казати про те, що комп'ютерна інформація - це інформація, яка передається, обробляється і зберігається з використанням електронно-обчислювальної техніки. Комп'ютерна інформація може бути перенесена у просторі, збережена у часі, передана іншому суб'єктові або технічному пристрою (наприклад, іншому комп'ютерові), піддана іншим операціям.

Як нам здається, найбільш вдале визначення комп'ютерної інформації сформульоване В.В.Криловим. Він пише: “Комп'ютерна інформація є відомості, знання або набір команд (програм), призначені для використання в ЕОМ або управління нею, що знаходяться в ЕОМ або на машинних носіях, - елемент інформаційної системи, котрий може бути ідентифікованим і має власника, який встановив правила її використання” [2].

У юридичній літературі загальне визначення інформації, в основу якого покладено відображення як загальну властивість матерії, було подано О.І.Трусовим, який вважав, що “...інформація охоплює відображення предметів і явищ у людській свідомості, явищ і процесів один в одному, поза зв'язком із свідомістю» [3]. У такій інтерпретації, бажає того автор чи ні, інформація подається як певна “річ у собі”. Ще ширше розуміє інформацію Р.М. Ланцман. На його думку, інформація -- це все те, «що відрізняє одне явище від іншого або характеризує різноманітні стани одного явища» [4].

Наведені позиції свідчать про те, що навіть посилання у визначенні поняття інформації на категорію відображення, без зв'язку інформації з її споживачем, не рятує таке визначення від серйозних методологічних помилок. Мабуть тому, й досі в юридичній літературі має місце ототожнення інформації з відображенням [5] або відкидання його зв'язку зі споживачем [6], з чим категорично погодитися не можна.

Викладене дозволяє простежити гносеологічні корені та закономірності виникнення і використання терміна “інформація” у правовій сфері, зокрема, в криміналістиці. Так, уточнюючи дещо спрощену тезу Р.С. Бєлкіна про те, що стосовно процесу доказування зміни в середовищі, як наслідок відображення у цьому середовищі події, є інформація про цю подію [7], в свою чергу, зауважимо, що зміни в середовищі -- це, насамперед, відображення і воно, як властивість (ознака), що закладена у відображаючому об'єкті внаслідок його взаємодії з іншими об'єктами, може бути й не затребуване споживачем і не стати власне інформацією. Тому в своїх міркуваннях виходитимемо з того, що властивості цього відображаючого об'єкта є фактом, який існує поза та незалежно від свідомості людини. Факт, що лежить в основі інформації, в науковій літературі називається “базовим фактом”, або прихованою, потенційною інформацією. Він завжди подається на певному носієві, яким може бути будь-яке матеріальне тіло.

Розглядаючи інформацію, як об'єкт захисту, треба зазначити, що інформація - це результат відображення і обробки у людській свідомості різноманіття навколишнього світу, це відомості про оточуючі людину предмети, явища природи, діяльність інших людей тощо. Відомості, якими обмінюється людина через електронно-обчислювальні машини (ЕОМ), з іншою людиною або ЕОМ, і є предметом захисту. Захистові має підлягати не лише таємна інформація. Модифікація несекретних даних може призвести до витоку таємних. Знищення або зникнення накопичених з великими труднощами даних може призвести до їх безнадійної втрати. Залежно від сфери і масштабів застосування тієї чи іншої системи обробки даних втрата або витік інформації може призвести до наслідків різної тяжкості: від невинних жартів до надзвичайно великих втрат економічного і політичного характеру. І тому є маса подібних прикладів. Особливо широкого розмаху набули злочини в автоматизованих системах, обслуговуючих банківські і торговельні структури. За даними зарубіжних спеціалістів, втрати банків в результаті комп'ютерних злочинів щорічно складають від 170 млн. до 41 млрд. доларів США.

Вперше у вітчизняній правовій практиці інформація визначається як об'єкт захисту в статті 2 Закону Україні «Про захист інформації в автоматизованих системах», прийнятої Державною Думою 5 липня 1994 р. [8]. Законом передбачається, що об'єктами захисту є інформація, що обробляється в автоматизованій системі, права власників цієї інформації та власників АС, а також права користувача.

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було зроблено багато різних спроб формалізувати цей процес з використанням методів теорії інформації і аналізу рішень, процес оцінки досі залишається вельми суб'єктивним. Для оцінки потрібний розподіл інформації на категорії не тільки відповідно до її цінності, але й важливості. Відомий наступний розподіл інформації за ступенем важливості:

1) життєво важлива незамінна інформація, наявність якої необхідна для функціонування організації;

2) важлива інформація - інформація, яка може бути замінена або відновлена, але процес відновлення дуже важкий і пов'язаний з великими витратами;

3) корисна інформація - інформація, яку важко відновити, однак організація може ефективно функціонувати й без неї;

4) несуттєва інформація - інформація, яка організації більше не потрібна.

На практиці віднесення інформації до однієї з цих категорій є досить складним завданням, оскільки одна й та ж інформація може бути використана багатьма підрозділами організації, кожен з яких може віднести її до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно, згодом змінюється й залежить від ставлення до неї різних груп споживачів і потенційних порушників. Існують визначення груп осіб, пов'язаних з обробкою інформації: утримувач - організація або особа - власник інформації; джерело - організація або особа, що постачає інформацію; порушник - окрема особа або організація, прагнуча отримати інформацію. Ставлення цих груп до значущості однієї й тієї ж інформації може бути різним: для однієї - важлива, для іншої - ні. Наприклад:

- важлива оперативна інформація, така, наприклад, як список замовлень на поточний тиждень і графік виробництва, може мати високу цінність для користувача, тоді як для джерела (наприклад, замовника) або порушника низьку;

-· персональна інформація, наприклад, медична, має значно більшу цінність для джерела (особи, якої стосується інформація), ніж для її користувача або порушника;

- інформація, що використовується керівництвом для розробки і прийняття рішень, наприклад, про перспективи розвитку ринку, може бути значно ціннішою для порушника, ніж для джерела або її держателя, який вже завершив аналіз цих даних.

Наведені категорії важливості заслуговують на увагу і можуть бути застосовані до будь-якої інформації. Це також узгоджується з існуючим принципом розподілу інформації за рівнями таємності. Рівень таємності - це адміністративна або законодавча міра, адекватна мірі відповідальності особи за обіг або втрату конкретної таємної інформації, що регламентується спеціальним документом з урахуванням державних, військово-стратегічних, комерційних, службових або приватних інтересів. Такою інформацією може бути державна, військова, комерційна, службова або особиста таємниця.

Практика свідчить, що захищати необхідно не тільки таємну інформацію. Несекретна інформація, піддана несанкціонованим змінам (наприклад, модифікації команд управління), може призвести до витоку або втрати пов'язаної з нею таємної інформації, а також до невиконання автоматизованою системою заданих функцій внаслідок отримання помилкових даних, які можуть бути не виявлені користувачем системи.

Сумарна кількість або статистика нетаємних даних в результаті може виявитися таємною. Аналогічно, зведені дані одного рівня таємності загалом можуть бути інформацією більш високого рівня таємності. Для захисту від подібних ситуацій широко застосовується розмежування доступу до інформації за функціональною ознакою. За однакового ступеня важливості, інформація, що обробляється в системі обробки даних, поділяється відповідно до функціональних обов'язків і повноважень користувачів, що встановлюються адміністрацією організації - власника інформації.

До останнього часу безпека інформації в автоматизованих системах (АС) розумілася виключно як небезпека її несанкціонованого отримання протягом усього часу обробки і зберігання в АС. Сьогодні безпека інтерпретується ще й як безпека дій, для виконання яких використовується інформація. Принципові відмінності розширеного тлумачення, на відміну від традиційного, дуже важливі, оскільки обчислювальна техніка все більше використовується для автоматизованого управління інформаційними системами і процесами, в яких несанкціоновані зміни запланованих алгоритмів і технологій можуть мати серйозні наслідки.

Історично традиційним об'єктом права власності є матеріальний об'єкт. Інформація не є матеріальним об'єктом, інформація - це знання, тобто відображення дійсності в свідомості людини (причому істинне або помилкове відображення - не істотно, важливо, що в свідомості). Надалі інформація може втілюватися в матеріальні об'єкти навколишнього світу.

Як нематеріальний об'єкт, інформація нерозривно пов'язана з матеріальним носієм. Це - мозок людини або відчужені від людини матеріальні носії, такі, як книга, дискета й інші види “пам'яті” (запам'ятовуючі пристрої комп'ютера).

З філософської точки зору можна, мабуть, говорити про інформацію як про абстрактну субстанцію, існуючу саму по собі, але для нас ні зберігання, ні передача інформації без матеріального носія неможливі.

Як наслідок, інформація як об'єкт права власності копіюється (тиражується) за рахунок матеріального носія. Матеріальний об'єкт права власності не копіюється. Дійсно, якщо розглянути дві однакові речі, то вони складаються з однакових структур, але матеріально різних молекул. А інформація при копіюванні залишається тією ж, це - те ж знання, та ж семантика.

Як наслідок, інформація, як об'єкт права власності, легко переміщується до іншого суб'єкта права власності без помітного порушення права власності на інформацію. Переміщення матеріального об'єкта до іншого суб'єкта права власності неминуче і, як правило, спричиняє втрату цього об'єкта первинним суб'єктом права власності, тобто, відбувається очевидне порушення його права власності.

Небезпека копіювання і переміщення інформації посилюється тим, що вона, як правило, відчужувана від власника, зберігається і обробляється в сфері доступності значної кількості суб'єктів, які не є суб'єктами права власності на неї. Це, наприклад, автоматизовані системи, в тому числі й мережі.

Розглянувши особливості інформації, як об'єкта права власності, підкреслимо, що в іншому інформація, очевидно, нічим не відрізняється від традиційних об'єктів права власності. Право власності включає три складових елементи права власності: право розпорядження; право володіння; право користування. Суб'єкт права власності на інформацію може передати частину своїх прав (розпорядження), не втрачаючи їх сам, іншим суб'єктам, наприклад - власникові матеріального носія інформації (це - володіння або користування) або користувачеві (це - користування і, можливо, володіння).

Для інформації право розпорядження має на увазі виняткове право (ніхто інший, крім власника) визначати, кому ця інформація може бути надана у володіння чи користування.

Право володіння передбачає мати цю інформацію в незмінному вигляді. Право користування має на увазі право використання цієї інформації у власних інтересах. Таким чином, до інформації, крім суб'єкта права власності на цю інформацію, можуть мати доступ інші суб'єкти права власності як законні, санкціоновані (це - суб'єкти права на елементи власності), так і незаконні, несанкціоновані. Виникає складна система взаємовідносин між цими суб'єктами права власності. Ці взаємовідносини повинні регулюватися й охоронятися, оскільки відхилення від них можуть призвести до переміщення інформації, що спричиняє порушення права власності суб'єкта на цю інформацію. Іншими словами, мова йде про реалізацію права власності на інформацію. Під цим розумітимемо державну або приватну (або державно-приватну) інфраструктуру, що запобігає порушенню права власності на інформацію.

Як і для будь-якого об'єкта власності, така інфраструктура складається з ланцюжка: законодавча влада - судова влада - виконавча влада (закон - суд - покарання). Закон повинен передбачати відповідальність і повноваження суб'єктів права власності (на елементи власності). Кожний такий суб'єкт в рамках наданих йому власником повноважень несе перед ним відповідальність за передбачене законом і підтверджене судом перевищення цих повноважень, яке призвело або могло призвести до порушення права власності власника інформації. Отже, незважаючи на певні особливості, інформація, нарівні з традиційними матеріальними об'єктами, може і повинна розглядатися законом як об'єкт права власності.

Проблеми правового захисту комп'ютерної інформації зацікавили юристів провідних зарубіжних країн у 70-80-ті рр., коли почався розквіт комп'ютерної техніки. Поява і розповсюдження в 70-ті рр. компактних і порівняно недорогих персональних комп'ютерів створили можливість підключення до потужних інформаційних потоків необмеженого кола осіб, призвели до комп'ютеризації господарської і управлінської діяльності, використання комп'ютерної техніки в космічних дослідженнях, обороні, атомній енергетиці та інших сферах життя суспільства, де порушення роботи такої техніки здатне викликати аварії і навіть катастрофи з людськими жертвами і величезними економічними втратами. Крім того, поява комп'ютерних банків з інформацією персонального характеру робить несанкціонований доступ до неї вельми небезпечним для прав і свобод людини.

З метою захисту права власника, будь-який закон про власність, зафіксувавши суб'єкти і об'єкти права власності, повинен регулювати відносини між ними. Особливості регулювання цих відносин залежать від специфіки об'єктів права власності. У випадку інформаційної власності, що розглядається в зв'язку з перерахованими вище особливостями інформації як об'єкта права власності, закон повинен регулювати відносини суб'єктів, а також суб'єктів і об'єктів права власності на інформацію з метою захисту як прав власника, так і законних власників і користувачів інформації для захисту інформаційної власності від розголошування, витоку - несанкціонованого ознайомлення з нею, її обробки, зокрема, копіювання, модифікації або знищення.

На державному рівні для гарантування інформаційної безпеки вживаються наступні заходи: здійснюється формування і реалізація єдиної державної політики щодо забезпечення захисту національних інтересів від загроз в інформаційній сфері; встановлюється баланс між потребою у вільному обміні інформацією та допустимими обмеженнями її розповсюдження; вдосконалюється законодавство України в області забезпечення інформаційної безпеки; координується діяльність органів державної влади щодо забезпечення безпеки в інформаційному середовищі; захищаються державні інформаційні ресурси на оборонних підприємствах; розвиваються вітчизняні телекомунікаційні й інформаційні засоби; вдосконалюється інформаційна структура розвитку інформаційних технологій; уніфікуються засоби пошуку, збирання, зберігання, обробки та аналізу інформації для входження до глобальної інформаційної інфраструктури.

З аналізу нормативно-правових актів України бачимо, що державна політика у сфері захисту інформації визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень, зазначених у законодавстві та положень Концепції технічного захисту інформації, а також програм розвитку захисту інформації та окремих проектів.

Основними напрямками державної політики у сфері захисту інформації є:

- нормативно-правове забезпечення;

- удосконалення чинних та розробка і прийняття нових нормативних документів з питань технічного захисту інформації;

- організаційне забезпечення;

- науково-технічна та виробнича діяльність.

Серед першочергових заходів щодо реалізації державної політики у сфері захисту інформації визначаються наступні:

- створення правових засад реалізації державної політики у сфері захисту інформації, визначення послідовності та порядку розробки відповідних нормативно-правових актів;

- визначення перспективних напрямків розробки нормативних документів з питань захисту інформації на основі аналізу стану відповідної вітчизняної та зарубіжної нормативної бази, розробки зазначених нормативних документів;

- визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку, призначених для обробки інформації з обмеженим доступом інших засобів забезпечення технічного захисту інформації в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ;

- розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення технічного захисту інформації;

- визначення реальних потреб системи технічного захисту інформації у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань технічного захисту інформації.

Аналіз законодавства, яке регулює суспільні інформаційні відносини в Україні, дозволяє стверджувати, що наша держава, поряд із заходами стимулювання розвитку інфраструктури на основі новітніх технологій, вживає необхідних заходів, спрямованих проти комп'ютерної злочинності. Прикладом цьому можуть служити Указ Президента від 31 липня 2000 року “Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні”, а також Розділ 16 - "Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж" Кримінального кодексу України.

Як висновок зауважимо, що система захисту інформації має бути адекватною потенційним загрозам. Тому, при плануванні захисту слід мати уяву про те, кого і яка саме інформація може цікавити, яка її цінність для вас і на які фінансові жертви заради неї здатен піти зловмисник.

1.2 Характеристика загроз безпеки інформації

Неправомірне перекручування, фальсифікація, знищення або розголошення конфіденційної інформації може нанести серйозні, а іноді й непоправні матеріальні або моральні втрати. У цьому випадку, досить важливим є забезпечення безпеки інформації без збитку для інтересів тих, кому вона призначена.

Щоб забезпечити гарантований захист інформації в комп'ютерних системах обробки даних, потрібно насамперед сформулювати мету захисту інформації і визначити перелік необхідних заходів, які забезпечують захист. Для цього необхідно, в першу чергу, розглянути і систематизувати всі можливі фактори (загрози), що можуть привести до втрати або перекручування вихідної інформації.

Під загрозою безпеки комп'ютерної системи розуміється подія (вплив), що у випадку своєї реалізації стане причиною порушення цілісності інформації, її втрати або заміни. Загрози можуть бути як випадковими, так і навмисними.

До випадкових загроз відносяться:

1. помилки обслуговуючого персоналу і користувачів;

2. втрата інформації, обумовлена неправильним збереженням архівних даних;

3. випадкове знищення або зміна даних;

4. збої устаткування і електроживлення;

5. збої кабельної системи;

6. перебої електроживлення;

7. збої дискових систем;

8. збої систем архівування даних;

9. збої роботи серверів, робочих станцій, мережевих карт і т.д.;

10. некоректна робота програмного забезпечення;

11. зміна даних при помилках у програмному забезпеченні;

12. зараження системи комп'ютерними вірусами;

13. несанкціонований доступ;

14. випадкове ознайомлення з конфіденційною інформацією сторонніх осіб.

Найчастіше збиток наноситься не через чийсь злий намір, а просто через елементарні помилки користувачів, що випадково псують або видаляють дані, життєво важливі для системи. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту комп'ютерної інформації є розмежування повноважень користувачів. Крім того, ймовірність помилок обслуговуючого персоналу і користувачів мережі може бути значно зменшена, якщо їх правильно навчати і, крім того, періодично контролювати їх дії зі сторони, наприклад, адміністратора мережі.

Надійний засіб запобігання втрат інформації при короткочасному відключенні електроенергії - установка джерел безперебійного живлення (UPS). Різні по своїх технічних і споживчих характеристиках, подібні пристрої можуть забезпечити живлення всієї локальної мережі або окремого комп'ютера упродовж часу, достатнього для відновлення подачі напруги або для збереження інформації на магнітних носіях. Більшість UPS виконують функції ще і стабілізатора напруги, що є додатковим захистом від стрибків напруги в мережі. Багато сучасних мережевих пристроїв (сервери, концентратори і ін.) оснащені власними дубльованими системами електроживлення.

Основний, найбільш розповсюджений, метод захисту інформації і устаткування від стихійних лих (пожеж, землетрусів, повеней і т.п.) полягає в створенні і збереженні архівних копій даних.

Особливістю комп'ютерних технологій є те, що безпомилкових програм, у принципі, не буває. Якщо проект практично в будь-якій області техніки можна виконати з величезним запасом надійності, то в області програмування така надійність досить умовна, а іноді майже недосяжна. І це стосується не тільки окремих програм, але і цілого ряду програмних продуктів фірм, відомих в усім світі.

Через недоліки в програмних продуктах Microsoft, зв'язаних із забезпеченням безпеки даних у мережі Internet, «хакери» можуть захоплювати особисті ключі шифрів користувачів і діяти від їх імені.

На сьогоднішній день більше половини користувачів випробували «на собі» дію вірусів. Найбільш розповсюдженим методом захисту від вірусів дотепер залишається використання різних антивірусних програм.

Рівень зазначених загроз значною мірою знижується за рахунок підвищення кваліфікації обслуговуючого персоналу і користувачів, а також надійності апаратно-програмних і технічних засобів.

Однак найбільш небезпечним джерелом загроз інформації є навмисні дії зловмисників.

Стандартність архітектурних принципів побудови устаткування і програм забезпечує порівняно легкий доступ професіонала до інформації, що знаходиться в персональному комп'ютері. Обмеження доступу до ПК шляхом введення кодів не гарантує стовідсотковий захист інформації.

Включити комп'ютер і зняти код доступу до системи не викликає особливих утруднень: досить відключити акумулятор на материнській платі. На деяких моделях материнських плат для цього передбачений спеціальний перемикач. Також у кожного виготовлювача програми BIOS (AMI, AWARD і ін.) є коди, що мають пріоритет перед будь-якими кодами користувачів, набравши які можна одержати доступ до системи. У крайньому випадку, можна вкрасти системний блок комп'ютера або витягти жорсткий диск і вже в спокійній обстановці одержати доступ до необхідної інформації.

Загрози, що навмисно створюються зловмисником або групою осіб (навмисні загрози), заслуговують більш детального аналізу, тому що часто носять витончений характер і приводять до важких наслідків. Тому розглянемо їх докладно.

До навмисних загроз відносяться:

– несанкціонований доступ до інформації і мережевих ресурсів;

– розкриття і модифікація даних і програм, їх копіювання;

– розкриття, модифікація або підміна трафіка обчислювальної мережі;

– розробка і поширення комп'ютерних вірусів, введення в програмне забезпечення логічних бомб;

– крадіжка магнітних носіїв і розрахункових документів;

– руйнування архівної інформації або навмисне її знищення;

– фальсифікація повідомлень, відмова від факту одержання інформації або зміна часу його прийому;

– перехоплення та ознайомлення з інформацією, яка передана по каналах зв'язку тощо.

Виділяють три основних види загроз безпеки: загрози розкриття, цілісності і відмови в обслуговуванні (рисунок 1.1).

Рисунок «1.1» - «Види загроз безпеки інформації в комп'ютерних мережах»

Загроза розкриття полягає в тім, що інформація стає відомою тому, кому не потрібно її знати. Іноді замість слова «розкриття» використовуються терміни «крадіжка» або «витік».

Загроза порушення цілісності - будь-яка навмисна зміна (модифікація або навіть видалення) даних, що зберігаються в обчислювальній системі або передаються з однієї системи в іншу. Звичайно вважається, що загрозі розкриття піддаються в більшому ступені державні структури, а загрозі порушення цілісності - ділові або комерційні.

Загроза відмови в обслуговуванні виникає всякий раз, коли в результаті певних дій блокується доступ до деякого ресурсу обчислювальної системи.

1.3 Несанкціонований доступ до інформації і його мета

захист комп'ютерний інформація криптографічний

Спосіб несанкціонованого доступу (НСД) - це сукупність прийомів і порядок дій з метою одержання (добування) інформації, що охороняється, незаконним протиправним шляхом і забезпечення можливості впливати на цю інформацію (наприклад: підмінити, знищити і т.п.).

При здійсненні несанкціонованого доступу, зловмисник переслідує три мети:

– одержати необхідну інформацію для конкурентної боротьби;

– мати можливість вносити зміни в інформаційні потоки конкурента у відповідності зі своїми інтересами;

– завдати шкоди конкурентові шляхом знищення матеріалу інформаційних цінностей.

Повний обсяг даних про діяльність конкурента не може бути отриманий тільки яким-небудь одним з можливих способів доступу до інформації. Від мети залежить як вибір способів дій, так і кількісний і якісний склад сил і засобів добування інформації.

Склад та спрямування захисту документної інформації В сучасній українській ринковій економіці обов'язковою умовою успіху підприємця у бізнесі, отримання прибутку та збереження в цілісності створеної ним організаційної структури є забезпечення економічної безпеки його діяльності. Одна з головних складових частин економічної безпеки - інформаційна безпека, яка досягається за рахунок використання комплексу систем, методів та засобів захисту інформації підприємця від можливих зловмисних дій конкурентів та з метою збереження її цілісності та конфіденційності. Інформація, що використовується підприємцем у бізнесі та управлінні підприємством, банком, компанією чи іншою структурою (далі по тексту фірмою), є його власною або приватною інформацією, яка являє собою істотну цінність для підприємця. Ця інформація є його інтелектуальною власністю. Звичайно виділяють два види власної інформації: технічна, технологічна: методи виготовлення продукції, програмне забезпечення, основні виробничі показники, хімічні формули, рецепти, результати випробувань дослідних зразків, дані контролю якості й ті; ділова: кошторисні показники, результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія дій на ринку і т .і.

Власна інформація підприємця з метою її захисту може бути віднесена до комерційної таємниці та є конфіденційною при дотриманні таких умов: інформація не повинна відображати негативні сторони діяльності фірми, порушення законодавства та інші подібні факти; інформація не повинна бути загальнодоступною чи загальновідомою; виникнення чи отримання інформації повинно бути законним і пов'язано з витрачанням матеріального, фінансового чи інтелектуального потенціалу фірми; персонал фірми повинен знати про цінність такої інформації та навчений правилам роботи з нею; підприємцем повинні бути виконані дії по захисту цієї інформації.

Для документування інформації підприємця, яка є результатом творчої інтелектуальної праці в науці та виробництві, найбільш характерні не текстові, а зображувальні способи. Досить часто конфіденційна інформація документується фотографічними, відеографічними та іншими способами. Цінність інформації може бути кошторисною категорією і відображати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Інформація стає часто цінною через її правове значення для організації чи розвитку бізнесу, наприклад, установчі документи, програми та плани, договори з партнерами та посередниками і т. і.

Цінність може відображати її перспективне, наукове, технічне чи технологічне значення. Отже, власна цінна інформація підприємця не обов'язково є конфіденційною. Часто звичайний правовий документ важливо зберегти в цілісності та безпеці від викрадача чи стихійного лиха. Цінну конфіденційну ділову інформацію, як правило, містять: плани розвитку виробництва; ділові плани; плани маркетингу, бізнес-плани; списки власників акцій та інші документи. Найбільш цінні відомості про виробництво і продукцію, ринок, наукові розробки, матеріально-технічне забезпечення, умови контрактних переговорів, відомості про персонал, принципи управління фірмою, систему безпеки фірми і ті. Комерційна цінність інформації, як правото, недовготривала і визначається часом, необхідним конкуренту для створення тієї ж ідеї чи її викрадення та відтворення, опублікування та переходу до числа загальновідомих.

Степінь цінності інформації та необхідна надійність її захисту знаходяться в прямій залежності. Зарубіжні фірми з метою підвищення свого престижу та конкурентноздатності товарів часто використовують різні рекламні прийоми і, зокрема, створюють неіснуючі секрети. Такий "секрет" вміло розголошується зважаючи на загальновідому істину підслуханому вірять більше, ніж почутому. Виявлення та регламентація реального складу інформації, що представляє цінність дня підприємця і належить захисту, є основоположною частиною системи захисту.

Склад цінної інформації визначається її власником і фіксується в спеціальному переліку. Перелік цінних відомостей, що складають таємницю фірми, є постійним робочим матеріалом керівництва фірми, служб безпеки та конфіденційної документації Він регулярно оновлюється, коректується та являє собою інвентарний список відомостей про конкретні роботи, конкретну продукцію, конкретні дослідження, конкретні контракти і т.і.

В перелік включаються дійсно цінні відомості ("ізюминки") про кожну роботу фірми, хоча певна номенклатура типових відомостей в переліку може міститися. В кожній позиції переліку рекомендується вказувати гриф конфіденційності відомостей, прізвища співробітників, які мають право доступу до них і які несуть відповідальність за їх зберігання, термін дії грифу або найменування події, яка знімає це обмеження, види документів та баз даних, в яких ці відомості фіксуються і зберігаються. Важливим завданням переліку є подрібнення комерційної таємниці на окремі інформаційні елементи, відомі різним особам. В свою чергу, закріплення конфіденційних відомостей за конкретними документами дозволяє виключити можливість безпідставного видання документів або включення в них надмірних даних. Аналогічні переліки в якості розділів, що входять б загальний перелік відомостей, які складають таємницю фірми, можуть мати її великі структурні підрозділи. На основі переліку відомостей складається і ведеться перелік (список) документів фірми, що підлягають захисту і мають відповідний гриф обмеження доступу. Під конфіденційним (закритим) документом, тобто документом, до якого обмежений доступ персоналу, треба розуміти необхідним чином оформлений носій цінної задокументованої інформації, яка складає інтелектуальну власність підприємця. (Рисунок 1.2)

Порушники безпеки інформації:

Спроба одержати несанкціонований доступ до комп'ютерної мережі з метою ознайомитися з нею, залишити інформацію, виконати, знищити, змінити або викрасти програму або іншу інформацію кваліфікується як «комп'ютерне піратство».

Для запобігання можливих загроз, фірми повинні не тільки забезпечити захист операційних систем, програмного забезпечення і контроль доступу, але і спробувати виявити категорії порушників і ті методи, які вони використовують.

У залежності від мотивів, мети і методів, дії порушників безпеки інформації можна розділити на чотири категорії:

- шукачі пригод;

– ідейні «хакери»;

– «хакери»-професіонали;

– ненадійні (неблагополучні) співробітники.



Рисунок «1.2» - «Способи НСД до конфіденційної інформації»

Шукач пригод, як правило, студент або старшокласник, і в нього рідко є продуманий план атаки. Він вибирає мету випадковим чином і звичайно відступає, зіштовхнувшись зі складнощами. Знайшовши діру в системі безпеки, він намагається зібрати закриту інформацію, але практично ніколи не намагається її таємно змінити. Своїми перемогами такий шукач пригод ділиться тільки зі своїми близькими друзями-колегами.

Ідейний «хакер» - це той же шукач пригод, але більш майстерний. Він уже вибирає собі конкретні цілі (хости і ресурси) на підставі своїх переконань. Його улюбленим видом атаки є зміна інформаційного наповнення Web-сервера або, у більш рідких випадках, блокування роботи ресурсу, що атакується. У порівнянні із шукачем пригод, ідейний «хакер» розповідає про успішні атаки набагато більш широкої аудиторії, звичайно розміщаючи інформацію на хакерському Web-вузлі.

«Хакер»-професіонал має чіткий план дій і націлюється на визначені ресурси. Його атаки добре продумані і звичайно здійснюються в кілька етапів. Спочатку він збирає попередню інформацію (тип ОС, надані сервіси і міри захисту). Потім він складає план атаки з урахуванням зібраних даних і підбирає (або навіть розробляє) відповідні інструменти. Далі, провівши атаку, він одержує закриту інформацію і, нарешті, знищує всі сліди своїх дій. Такий професіонал звичайно добре фінансується і може працювати один або в складі команди професіоналів.

Ненадійний (неблагополучний) співробітник своїми діями може спричинити стільки ж проблем (буває і більше), скільки промисловий шпигун, до того ж, його присутність звичайно складніше знайти. Крім того, йому доводиться переборювати не зовнішній захист мережі, а тільки, як правило, менш жорсткіший внутрішній. Він не такий витончений у способах атаки, як промисловий шпигун, і тому частіше допускає помилки і тим самим може видати свою присутність. Однак, у цьому випадку, небезпека його несанкціонованого доступу до корпоративним даних набагато вища, ніж будь-якого іншого зловмисника.

Перераховані категорії порушників безпеки інформації можна згрупувати по їхній кваліфікації: початківець (шукач пригод), фахівець (ідейний «хакер», ненадійний співробітник), професіонал («хакер» - професіонал). А якщо з цими групами зіставити мотиви порушення безпеки і технічну оснащеність кожної групи, то можна одержати узагальнену модель порушника безпеки інформації, як це показано на рисунку 1.3.

Порушник безпеки інформація, як правило, будучи фахівцем визначеної кваліфікації, намагається довідатися все про комп'ютерні системи і мережі, зокрема, про засоби їх захисту. Тому модель порушника визначає:

- категорії осіб, у числі яких може виявитися порушник;

можливі цілі порушника і їх градації по ступені важливості і небезпеки;

- припущення про його кваліфікації;

- оцінка його технічної озброєності;

- обмеження і припущення про характер його дій.

Діапазон спонукальних мотивів одержання доступу до системи досить широкий: від бажання випробувати емоційний підйом під час гри з комп'ютером до відчуття влади над ненависним менеджером. Займаються цим не тільки новачки, що бажають побавитися, але і професійні програмісти. Паролі вони добувають, або в результаті підбору або здогадування, або шляхом обміну з іншими «хакерами».

Частина з них, однак, починає не тільки переглядати файли, але і виявляти інтерес саме до їх змісту, а це вже являє серйозну загрозу, оскільки в даному випадку важко відрізнити звичайну цікавість від злочинних дій.



Рисунок «1.3» - «Модель порушника безпеки інформації»

Донедавна викликали занепокоєння випадки, коли незадоволені керівником службовці, зловживаючи своїм положенням, псували системи, допускаючи до них сторонніх або залишаючи системи без догляду в робочому стані. Спонукальними мотивами таких дій є:

– реакція на догану або зауваження з боку керівника;

– невдоволення тим, що фірма не оплатила понаднормові години роботи (хоча найчастіше понаднормова робота виникає через неефективне використання робочого часу);

– злий намір у якості, наприклад, реваншу з метою послабити фірму як конкурента якої-небудь новоствореної фірми.

Професійні «хакери» - це комп'ютерні фанати, що прекрасно знають обчислювальну техніку і системи зв'язку. Вони затратили масу часу на обмірковування способів проникнення в системи і ще більше, експериментуючи із самими системами. Для входження в систему професіонали найчастіше використовують деяку систематичність та експерименти, а не розраховують на удачу або інтуїцію. Їх мета - виявити і перебороти захист, вивчити можливості обчислювальної установки і потім вийти з неї, довівши можливість досягнення своєї мети.

До категорії хакерів-професіоналів звичайно відносять наступних осіб:

– таких, що входять у злочинні угруповання, які переслідують політичні цілі;

– прагнучих одержати інформацію з метою промислового шпигунства;

– «хакер» або угруповання «хакерів», що прагнуть до наживи.

Сьогодні, зі стрімким розвитком Internet, «хакери» стають справжньою загрозою для державних і корпоративних комп'ютерних мереж. Так, за оцінками експертів США, напади «хакерів» на комп'ютери і мережі федеральних державних систем відбуваються в цій країні не рідше 50-ти раз на день. Багато великих компаній і організації піддаються атакам кілька разів у тиждень, а деякі навіть щодня. Виходять такі атаки не завжди ззовні, 70% спроб зловмисного проникнення в комп'ютерні системи мають джерело всередині самої організації.

2. ЗАГАЛЬНА ХАРАКТЕРИСТИКА ПІДПРИЄМСТВА “WED”

2.1 Характеристика підприємства “WED”

“WED” - приватне підприємство, основною діяльністю якого є продаж комп'ютерних технологій в Черкаському регіоні. Головний центр знаходиться у м. Черкаси за адресою: “WED центр” 18000, вул. Хрещатик 200. Філія знаходяться у місті Сміла.

Відповідно до виду і характеру господарської діяльності “WED” - це торгове підприємство (магазин);

Організаційна форма - приватна;

За розміром (кількістю працівників) належить до малих підприємств

Залежно від способу організації діяльності - це торгове товариство;

За ступенем охоплення ринку відноситься до національних ( оскільки транспортує продукцію тільки в межах країни );

За ступенем спеціалізації до спеціалізованих ( оскільки продає лише спеціалізований товар) .

Основним видом діяльності “WED” є продаж комп'ютерів та комп'ютерних систем та їх ремонт та обслуговування.

Підприємство займається не тільки продажем комп'ютерів, а й периферійних пристроїв, деталей, мобільних телефонів та аксесуарів[16].

2.2 Організаційно-структурна схема підприємства “WED”

Підприємство працює в єдиному напрямку для досягнення мети, здійснюючи різні види діяльності для забезпечення ефективності роботи і досягнення оптимальних результатів. Підприємство кілька будівель у декількох містах Черкаської області, в кожній з яких працює окремий штаб робітників.

У м. Черкаси:

- Центральний Магазин і офіс

- Магазин

- Центр (Склад та майстерня)

- Офіс веб-магазину.

У м. Сміла «WED» має магазин.

Центральним центром керування роботи є головний офіс.

Основні завдання головного офісу:

– Зв'язок з постачальником.

– Обробка інформації підприємства.

– Налагодження роботи всіх частин корпоративної мережі “WED” та її керування.

Основні завдання складу:

– Зберігання товару;

– Поставка товарів від головного складу до складу та від складу до магазину та споживача.

Основні завдання майстерні:

– вдосконалення конструкцій виробів, окремих вузлів та технологій виробництва;

– підготовка моделей до запуску у виробництво;

– підготовка рекомендацій по використанню нового устаткування;

– нормування матеріалів, фурнітури на кожну модель.

– ремонт у разі необхідності.

– обслуговування технічних та програмних засобів підприємства.

Основні завдання магазинів та філій:

– Продаж готової продукції.

– Формування звітності, передача та прийом даних с головного центру.

– Обслуговування клієнтів

У додатку А зображена схема корпоративної мережі підприємства “WED”

Кожний робітник підприємства виконує відповідні дії, згідно постанованих інструкцій. Якість готових виробів перевіряють контролери ВТК згідно стандартів та технологічної документації.

В своїй діяльності підприємство керується Законами України “Про підприємництво”, “Про підприємства України”, та іншими актами та нормативами з врахуванням особливостей, що передбачені в статуті підприємства. У додатку Б зображена структура управління підприємством «WED»

2.3 Технічне та програмне забезпечення ТОВ «WED»

На балансі підприємства “WED” знаходиться 31 комп'ютери, 7 принтера, 3 сканера, 2 ксерокса.

В головному офісі - 5 персональних комп'ютерів, 2 принтера, 1 сканер.

В Черкаському магазині - 6 персональних комп'ютерів, 2 принтера, 1 ксерокс, 1 сканер

В Смілянському магазині - 7 персональних комп'ютерів, 2 принтера, 1 ксерокс, 1 сканер

В WEB-магазині 2 персональних комп'ютера, 1 сканер

В WED центрі ми маємо 11 персональних комп'ютерів, 4 принтера, 1 сканер.

Базовою конфігурацією персонального комп'ютера кожного робочого місця на підприємстві є: CPU Celeron 430 tray 1,8GHz, DDR2-667 1024M PC2-5300, 80GB SATA-2, SVGA 512 MB GAINWARD 9500GT 512 HDCP, Silent, DVD R/RW+-, 1Gb Lan, ПЗ, ATX 350W. У додатку В представлена таблиця відділів та ті програмні продукти, які в цих відділах застосовуються.

Комп'ютери на підприємстві з'єднані в одну мережу. Кожний відділ підприємства з'єднаний з іншими за допомогою Інтернету. Також підприємство має свій сервер, який знаходиться в відділі web магазину. Інші відділи мають доступ до нього через всесвітню мережу.

Локальний та Інтернет зв'язок на підприємстві дозволяє кожному працівнику скористатися потрібною інформацією не тільки на своєму персональному робочому місці, а й отримати інформацію з інших відділів чи комп'ютерів. У додатку Г представлена структура мережі підприємства “WED”

В підприємстві “WED” комп'ютеризовано всі робочі місця та всі відділи забезпечено офісною технікою, такою як: принтери, сканери, факси. Важливу роль відіграє локальна мережа, що об'єднує комп'ютери підприємства. Вона створена для спільного використання ресурсів та обладнання. Отже на підприємстві використовується мережний адаптер, що виконує функцію кодування та декодування. Ця система працює тільки в головному офісі та магазину, оскільки вони розташовані в одній будівлі. Для зв'язку з іншими частинами підприємства потрібний вихід і Інтернет.

У “WED” використовуються телефони і факси, що відіграють функцію засобів зв'язку всіх частин корпоративної мережі.

Для роботи з інформацією, для її зберігання, обробки і. т. п. крім апаратного забезпечення необхідною частиною є програмне забезпечення.

Програмне забезпечення в ТОВ “WED” ділиться на дві категорії (Рисунок 2.1):

Рисунок «2.1» - «Категорії програмного забезпечення»

Системні програми - призначені для управління пристроями комп'ютера та обчислювальними процесами. Інструментальні системи - призначені для створення нових програм, до цих систем входять різноманітні мови програмування. Прикладні програми - сукупність програм, які використовуються для розв'язування прикладних задач в різних галузях діяльності.