Лекции по "Информационному обеспечению управления"

Автор работы: Пользователь скрыл имя, 22 Ноября 2012 в 21:48, курс лекций

Описание

ОСНОВЫ СИСТЕМЫ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ УПРАВЛЕНИЯ
Информационное обеспечение различных этапов процесса управления
Понятие управления. Структура управленческого процесса

Работа состоит из  1 файл

(!) ЛЕКЦИИ ИОУ Информационное обеспечение управленческой деятельности 4лекция во вторник.doc

— 2.87 Мб (Скачать документ)

 

Криптографические средства

Криптографические средства являются основными при построении систем защиты компьютерных сетей. Задолго  до появлении ЭВМ люди старались  сделать некоторые сведения недоступными для других. Простейшим способом для этого является преобразование обычного текста в некоторый непонятный набор символов, называемый шифрованным текстом (шифр текстом). Исходный текст называется открытым текстом. Процесс преобразования открытого текста в шифрованный называется шифрованием. Некоторая хранящаяся к тайне информация, позволяющая производить шифрование, а также образное преобразование для прочтения открытого текста законным получателем, называется ключом.

Современные криптографические средства предлагают большой выбор различных систем и способов шифрования информации

Их можно разделить на две  группы:

 системы с секретным ключом — симметричные системы;

системы с открытым ключом — асимметричные  системы.

Системы с секретным ключом являются классическим способом шифрования информации. В этих системах для пары отправитель-получатель сообщения имеется договоренность об используемом для зашифрования/расшифрования ключе, известном только им. Если ключ становится известным злоумышленнику, то вся система выходит из строя, так как противник может читать все сообщения, которыми будут обмениваться абоненты.

В системах с открытым ключом каждый пользователь имеет пару ключей. Один — открытый, который он делает известным  для всех тex, кто будет отправлять ему сообщения. Другой — секретный, который используется для прочтения сообщений и держится пользователем в тайне. Специальные алгоритмы подобных систем построены таким образом, что после зашифрования с помощью открытого ключа никто, кроме обладателя секретного ключа (даже отправитель сообщения), не сможет прочитать предназначенные для данного получателя сообщения.

 

Средства электронно-цифровой подписи

Электронно-цифровая подпись (ЭЦП) используется для подтверждения авторства  данного сообщения.

С помощью специальных математически обоснованных алгоритмов вычисляется электронно-цифровая подпись как функция от конкретного подписанного сообщения. Эта функция вычисляется самим автором сообщения на основе некоторой информации — индивидуального ключа. ЭЦП зависит от каждого символа сообщения, поэтому невозможно изменить его или подменить другим, не изменив значение ЭЦП. При этом случай, когда у двух различных сообщений выработанные на их основе молнией совпадут, практически невозможен. Поэтому подпись позволяет однозначно определить автора данного сообщения. Кроме того, ЭЦП может применяться и в качестве механизма контроля целостности сообщений.

Использование механизмов электронно-цифровой подписи также эффективно для  организации зашиты от отказов от посылки сообщения иди его  получения. В этом случае наличие ЭЦП отправителя является достаточным доказательством того, что он посылал данное сообщение. Получатель сообщения в свою очередь подписывает своей ЭЦП некоторую функцию, вычисленную на основе принятого сообщения, и посылает результат абоненту-отправителю.

Таким образом, с помощью технологии ЭЦП могут решаться следующие основные задачи:

— подтверждение подлинности электронного документа:

 

 подтверждение отсутствия внесенных в него изменении и искажений;

 подтверждение авторства электронного документа.

 

Средства контроля целостности

Обеспечение целостности информации является одной из важнейших задач  ее защиты. При построении системы  информационной безопасности компьютерных систем также большое значение имеет  обеспечение целостности программной среды, в которой происходит обработка информации. Это позволяет гарантировать защищенность системы от проникновения в нее вредоносных программ.

Таким образом, контроль целостности  должен осуществляться по двум направлениям:

 контроль целостности наборов данных;

 контроль целостности программной среды.

И в том и другом случае применяются специальные средства, основанные на определенных математических алгоритмах. Обычно для каждого файла, программы и т. п. подсчитывается соответствующая контрольная сумма (или иммитовставка), которая запоминается системой защиты. Изменение файла без изменения его контрольной суммы невозможно. Если система зашиты при последующей проверке выявила, что для какого-либо объекта значение контрольной суммы отличается от заданного, го выдается предупреждающее сообщение о возможном несанкционированном и вменении данного объекта.

 

Средства аудита

Средства аудита предназначены  для фиксации различных действий пользователей системы, в первую очередь, действий, нарушающих политику безопасности. Это позволяет, с одной стороны, выявлять злоумышленников, а с другой — контролировать правильность работы системы защиты, обнаруживать ее недостатки. На этапе настройки и системы средства аудита используются для выявления того, какие пользователи обращаются к определенным объектам системы, какие программные средства необходимы определенным пользователям, какие угрозы информационным ресурсам могут существовать в системе и т. п.

Обычно средством аудита является так называемый системный журнал. В нем фиксируются такие события, как: вход пользователя в систему, в том числе сообщения об ошибках входа (они могут свидетельствовать о попытках проникновения в систему); доступ к определенным программным средствам и наборам данных; попытки осуществить действия, на которые у данного пользователя нет прав, и т. п. Конкретная настройка параметров системного журнала производится администратором системы.

Системный журнал является в большей  степени средством фиксации нарушений, нежели средством их предотвращения. Однако анализ системного журнала может оказать помощь в выявлении средств и информации, которые использовал злоумышленник для осуществления нарушения. Также с помощью системного журнала можно определить, насколько далеко зашло обнаруженное нарушение, подсказать способы его расследования и исправления сложившейся ситуации. Определение источника нарушения не всегда возможно на основе информации, содержащейся в системном журнале. Однако его сведения позволяют значительно сузить круг предполагаемых нарушителей, чтобы затем применит другие способы расследования.

Таким образом, системный журнал также  является необходимой подсистемой  системы информационной безопасности.

 

Механизмы контроля трафика

Наличие подобных механизмов необходимо в том случае, когда интенсивность  обмена данными между абонентами является закрытой информацией, а также когда сам факт соединения двух конкретных абонентов должен оставаться конфиденциальным.

Для решения проблемы зашиты трафика  применяется два способа. При  одном из них возможно осуществление постоянной передачи по каналу связи некоторой шумовой (т. е. случайной) информации. При этом обнаружить, когда по каналу действительно идет передача осмысленных данных, практически невозможно.

При другом способе информация на узле-маршрутизаторе помещается в новый пакет (вместе с адресами отправителя и получателя). В качестве адреса отправителя в новом пакете указывается адрес данного маршрутизатора, а в качестве адреса получателя — адрес узла-маршрутизатора, ближайшего к той сети, в которой находится реальный получатель информации.

 

Механизмы управления маршрутизацией

Если злоумышленнику известен конкретный маршрут, по которому проходит сообщение  абонента, то он может провести атаку, которая приведет к реализации угрозы типа «отказ в обслуживании».

Для защиты от таких атак необходимо применять специальные средства, которые должны выбирать безопасные, наиболее надежные (в том числе и с точки зрения физических характеристик оборудования) каналы передачи сообщений.

Рассмотренные выше механизмы обеспечения  политики безопасности должны функционировать совместно в рамках единой комплексной системы. Только при соблюдении данного условия можно гарантировать определенный уровень защищенности информации. Обособленное применение одного или нескольких средств защиты не сможет противостоять хорошо оснащенному и подготовленному злоумышленнику.

Для проверки уровня работоспособности  системы защиты следует применять  средства оценки защищенности.

 

Оценка защищенности системы

 

Для оценки защищенности системы проводят анализ ее уязвимостей. Под уязвимостями понимаются «слабые места» системы, которыми может воспользоваться злоумышленник как собственно для атаки, так и для сбора необходимой информации о системе для будущих атак.

Анализ уязвимостей может быть двух видов: пассивный и активный.

При пассивном анализе производится только сканирование системы — определяются элементы и механизмы системы, защита которых недостаточна, чем может воспользоваться злоумышленник. При этом также делаются предположения о возможности проведения вторжения.

Активный анализ предполагает попытки  проведения различною рода атак и, в  большинстве случаев, является более  достоверным и эффективным методом. Однако при его использовании  есть вероятность выхода системы из строя.

Практические исследования показали, что уязвимости можно разделить на два класса:

 операционные дефекты (ошибки реализации);

 ошибки администрирования.

Операционные дефекты характеризуют  технологическую безопасность информационного ресурса и являются результатом ошибок проектирования и реализации программного обеспечения АС. Для удобства создания систем защиты и моделирования проникновения в АС целесообразно классифицировать ошибки проектирования по механизмам (подсистемам) безопасности системы. При этом основными типами операционных дефектов являются недостатки механизмов аутентификации, разграничении доступа, целостности данных, криптографии, а также сетевых протоколов и ошибки программной реализации.

Ошибки администрирования характеризуют  эксплуатационную безопасность и являются результатом некорректных настроек операционной системы и ее приложений по отношению к назначению АС и требованиям к ее безопасности. Причинами ошибок администрирования могут быть различные некомпетентные, халатные или злонамеренные действия администраторов и пользователей АС. Основными типами ошибок администрирования являются ошибки параметров подключения пользователей, настройки парольной зашиты и использования легко подбираемых паролей, конфигурирования сервера, назначения полномочий.

В настоящее время существуют специальные средства контроля защищенности. Кроме того, многие системы информационной безопасности имеют встроенные средства для осуществления такого контроля. В любом случае необходимо уделять достаточное внимание этому этапу создания и функционирования системы защиты, так как наличие системы защиты, в работе которой возможны серьезные сбои и ошибки, в некоторых случаях хуже ее отсутствия. Это связано с тем, что у пользователей появляется иллюзия защищенности, хотя на самом деле ситуация прямо противоположная.

Таким o6pазом, для грамотного выбора или построения системы защиты информации и поддержания ее функционирования необходимо обратить внимание на следующие моменты:

 выявление всех возможных угроз защищаемой информации:

 грамотное, полное и четкое формулирование политики безопасности организации в целом и вычислительной системы в частности:

 комплексность построения системы защиты: она должна содержать полный набор необходимых механизмов и средств защиты и осуществлять их совместное использование:

 необходимость постоянного слежения за работой системы зашиты и ее периодических проверок;

 правильный выбор фирмы-производителя системы защиты и ее отдельных компонентов: данная фирма должна хорошо зарекомендовать себя на рынке, желательно наличие большого опыта работы в данной области и широкой сети клиентов.

Только при соблюдении перечисленных  условий можно говорить об обеспечении  определенного уровня информационной безопасности.

 

Необходимо запомнить!

Информационная безопасность —  такое состояние информационных ресурсов, при котором они защищены от любых негативных воздействий, способных привести к нарушению полноты, целостности, доступности этих ресурсов или вызвать утечку или утрату содержащейся в них информации.

Добывание конфиденциальной информации организаций называется промышленным шпионажем. В нем выделяются следующие виды: агентурный, легальный и технический.

Выделяют следующие направления  обеспечения защиты информации: правовая, организационная, инженерно-техническая, программно-аппаратная.

Процесс создания системы зашиты информации в АС состоит из следующих этапов: выявление угроз защищаемой информации, определение политики безопасности, создание механизмов поддержки политики безопасности оценка защищенности системы.

Наиболее распространенным видом компьютерных нарушений считается несанкционированный доступ к информации. Существуем множество методов НСД.

На основе выявленных угроз формулируется политика безопасности — свод правил обращения с конфиденциальной информацией.

Для поддержки политики безопасности необходимо наличие специальных механизмов и средств защиты.

Важным элементом процесса защиты информации является контроль эффективности системы защиты.

 

Вопросы к главе 4

Какими свойствами должно обладать информации?

Что такое утечка информации?

Расскажите о промышленном шпионаже и его видах.

Дайте определение информационной безопасности.

Перечислите основные виды защиты информации и дайте их краткое описание.

 

Что входит в понятие угроза защищаемой информации?

Каковы основные виды угроз?

Информация о работе Лекции по "Информационному обеспечению управления"