Информационная безопасность в современных экономических системах

Министерство  образования и науки РФ

Федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования

«Петрозаводский государственный университет»

Кольский филиал

 

 

 

 

Кафедра информационных систем

Дисциплина  «Интегрированные системы управления»

 

 

 

 

Информационная  безопасность в современных экономических системах

 

 

Контрольная работа

студентки 3 курса 

(группа ЗИС-2010/3.5)

заочного  отделения 

факультета  ИПМ

специальность 230201- «Информационные системы

 и технологии»

 

Амбарниковой  Анны Андреевны

 

Научный  руководитель – 

к.т.н., доц. Маслобоев  А.В.

 

 

 

 

Апатиты

2013 
Содержание

 

Введение.................................................................................................................3

 

1.Понятие и определение информационной безопасности...............................4

2.Исследование причин нарушений безопасности.............................................7

3.Способы и средства защиты информации........................................................8

4.Формальные модели безопасности..................................................................11

5.Шифрование.......................................................................................................13

6. Организационно-техническое обеспечение компьютерной безопасности.........................................................................................................16

 

Заключение............................................................................................................19

Список литературы...............................................................................................20

 

Введение

 

В современном мире информация становится стратегическим ресурсом,

одним из основных богатств экономически развитого государства. Быстрое

совершенствование информатизации в  России, проникновение ее во все  сферы жизненно важных интересов личности, общества и государства вызвали помимо несомненных преимуществ и появление ряда существенных проблем.

Одной из них стала необходимость  защиты информации. Учитывая, что в  настоящее время экономический  потенциал все в большей степени определяется уровнем развития информационной структуры, пропорционально растет потенциальная уязвимость экономики от информационных воздействий.

Распространение компьютерных систем, объединение их в коммуникационные сети усиливает возможности электронного проникновения в них. Проблема компьютерной преступности во всех странах мира, независимо от их географического положения, вызывает необходимость привлечения все большего внимания и сил общественности для организации борьбы с данным видом преступлений. Особенно широкий размах получили преступления в автоматизированных банковских системах и в электронной коммерции. По зарубежным данным, потери в банках в результате компьютерных преступлений ежегодно составляют многие миллиарды долларов. Хотя уровень внедрения новейших информационных технологий в практику в России не столь значителен, компьютерные преступления с каждым днем дают о себе знать все более и более, а защита государства и общества от них превратилась в суперзадачу для компетентных органов.

Каждый сбой работы компьютерной сети это не только "моральный" ущерб  для работников предприятия и  сетевых администраторов. По мере развития технологий электронных платежей, "безбумажного" документооборота и других, серьезный  сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем на сегодняшний день.

Одной из основных причин, связанных  с компьютерами, является

недостаточная образованность в области  безопасности. Только наличие некоторых  знаний в области безопасности может  прекратить инциденты и ошибки, обеспечить эффективное применение мер защиты, предотвратить преступление или  своевременно обнаружить подозреваемого.

 

 

1. Понятие и определение информационной безопасности.

 

Проблема защиты информации актуальна  для любой организации, фирмы  и частного пользователя ПК, обладающих различного рода конфиденциальной информацией, доступ к которой должен быть строго ограничен.

Проблему защиты информации можно рассматривать  как совокупность тесно связанных  между собой вопросов в областях права, организации управления, разработки технических средств, программирования и математики.

Безопасностью информации называется состояние защищенности информации, которая обрабатывается средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.

Целостностью  информации называется способность средств вычислительной техники или автоматизированной системы к неизменности вида и качества информации в условиях случайного искажения или угрозы разрушения.

В соответствии с документом Гостехкомиссии РФ «Защита  от несанкционированного доступа к  информации. Термины и определения» угрозы безопасности и целостности информации заключаются в потенциально возможных воздействиях на вычислительную систему, которые прямо или косвенно могут повредить безопасности и целостности информации, обрабатываемой системой.

Ущерб целостности  информации – это изменение информации, приводящее к нарушению ее вида, качества или содержания.

Ущерб безопасности информации – это нарушение состояния защищенности информации, содержащиеся в вычислительной системе, путем осуществления несанкционированного доступа к объектам данной системы.

Под защитой информации понимается комплекс мероприятий, методов и средств, предназначенных для решения следующих задач:

1) проверка целостности  информации

2) исключение  несанкционированного доступа пользователей  или программ к защищаемым  программа и данным

3) исключение  несанкционированного использования  хранящихся в ЭВМ программ (защита  программ от копирования).

Несанкционированным доступом к информации называется доступ, который нарушает правила разграничения доступа с использованием штатных средств, предоставляемых вычислительной системой.

Политика безопасности – совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз.

Модель безопасности – формальное представление политики безопасности.

Произвольное  управление доступом -  управление доступом, основанное на совокупности правил представления доступа определенных на множестве атрибутов безопасности субъектов и объектов.

Ядро безопасности – совокупность аппаратных, программных и специальных компонентов вычислительной системы, реализующих функции защиты и обеспечения безопасности.

Идентификация – процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов)

Аутентификация – проверка подлинности идентификаторов сущности с помощью различных (приемно-криптографических) методов.

Адекватность – показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствие поставленным задачам.

Квалификация уровня безопасности – анализ информационной системы с целью определения уровня ее защищенности и соответствия требованиям безопасности на основе критериев стандарта безопасности.

Под угрозой безопасности информационных систем понимаются воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности.

Все угрозы можно  разделить по их источникам и характеру  проявления на следующие классы:

1. Случайные (природные, технические): возникают независимо от воли или желания людей. Это чаще всего прямое физическое воздействие на информационную систему (часто природного характера), которое ведет к нарушению работы системы и/или физическому уничтожению носителей информации, средств обработки и передачи данных и физических линий связи. Технические угрозы случайного характера могут возникать при ошибках людей и при случайном нарушении в работе оборудования.

2. Преднамеренные. В отличие от случайных могут быть созданы только людьми и направлены именно на дезорганизацию информационной системы.

 

Классификация угроз информационной безопасности

 

Природные угрозы	1.Стихийные бедствия 2.Магнитные бури 3.Радиоактивное излучение и  осадки
Угрозы технического характера	1.Отклонения или колебания электропитания  и сбои в работе других средств  обеспечения функционирования системы 2.Отказы и сбои в работе  аппаратно-программных средств ИС 3.Электромагнитные излучении и наводки 4.Утечки через каналы связи
Угрозы, созданные людьми	1.Непреднамеренные действия: облуживающего  персонала, управленческого персонала, программистов, пользователей, архивной службы, службы безопасности. 2.Преднамеренные действия 3.Хакерские атаки

На основании перечисленных  аспектов уязвимости информации можно  выделить три основных направления  ее защиты:

1.Совершенствование организационных и организационно-технических мероприятий технологии обработки информации в ЭВМ;

2.блокирование несанкционированного доступа к хранимой и обрабатываемой ЭВМ информации с помощью программных средств;

3.блокирование несанкционированного получения информации с помощью специализированных технических средств.

 

2. Исследование причин нарушений безопасности

 

На современном этапе предпосылками сложившегося кризисной ситуации с обеспечением безопасности информационных систем являются:

1) современные компьютеры за последние годы приобрели большую вычислительную мощность, но одновременно с этим стали гораздо проще в эксплуатации;

2) прогресс в области аппаратных средств сочетается с еще более бурным развитием программного обеспечения;

3) развитие гибких технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и распространения виртуальных машин;

4) несоответствие бурного развития средств обработки информации и медленной проработки теорий информационной безопасности привело к появлению существующего разрыва между теоретическими моделями безопасности и реальными категориями современных информационных технологий;

5) необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовало разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантий обеспечения защиты.

Задачи, требующие  немедленного эффективного решения:

1.обеспечение безопасности новых типов информационных ресурсов;

2.организация доверенного взаимодействия сторон в информационном пространстве;

3.защита от автоматических средств нападения;

4.интеграция защиты информации в процессе автоматизации ее обработки в качестве обязательного элемента.

Под защитой информации в компьютерных системах принято  понимать создание и поддержание организованной совместимости средств, способов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде.

 

3. Способы и средства защиты информации

 

В самой большой сети мира Интернет атаки на компьютерные системы прокатываются, как цунами, не зная ни государственных  границ, ни расовых или социальных различий. Идет постоянная борьба интеллекта, а также организованности системных администраторов и изобретательности хакеров.

Классификация способов и средств  защиты информации представлена на рисунке 1.

 

Рисунок 1. Классификация способов и средств защиты информации

 

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает следующие функции защиты:

* идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

* опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

* проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);

* разрешение и создание условий работы в пределах установленного регламента;

* регистрацию (протоколирование) обращений к защищаемым ресурсам;

* реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Маскировка, как правило, осуществляется путем ее шифрования.