Обеспечение безопасности информационных систем
Вопросы: 1. 2. 3. 4. 5. 6. 7. 8. 9. Информационная безопасность. Классы безопасности ИС. Классификация угроз информационной безопасности. Понятие компьютерной преступности. Программно-техническое обеспечение безопасности ИС. Средства защиты. Корпоративные проекты информационной безопасности. Безопасность в компьютерных сетях. Методы защиты информации. Нормативные акты об информатизации и защите информации в Беларуси.
1. Информационная безопасность Безопасность определяется как состояние защиты жизненно важных интересов личности, общества, государства от внутренних и внешних угроз. Состояние защищенности – это стабильно прогнозируемое во времени состояние окружения, в котором предприятие может осуществить свои задачи без перерывов, нарушений и потери конкурентоспособности. Различают понятие информационная безопасность – состояние защищенности информационной сферы, которая обеспечивает формирование и развитие информации в интересах граждан, организации и государства; информационная безопасность должна защищать граждан от ненужных данных, которые разрушают психику и сознание и обеспечивать право граждан на информацию. Информационная безопасность как составная часть экономической безопасности включает в себя: 1) комплексную программу обеспечения безопасности информационных ресурсов; 2) экономически обоснованную технологическую систему защиты.
Безопасность информации – это: обеспечение ее конфиденциальности, целостности и доступности законным пользователям. состояние защищенности информации, обрабатываемой средствами вычислительной техники, находящуюся на машинных носителях, от внутренних и внешних угроз. Угрозы – это случайные или намеренные действия выводящие организацию независимо от рода ее деятельности из состояния безопасности в состояние неработоспособности всей организации или ее отдельных узлов: персонал, имущество, информация о самой организации, товары и услуги. Организация может быть признана виновной в судебном порядке за ущерб, нанесенный третьим лицам ( включая и собственных служащих) или собственниками данных, т. е. цель обеспечения безопасности информации заключается в защите прав собственности и в задачах безопасности: защита от утечки, копирования, блокирования, модификации и утраты.
2. Классы безопасности ИС В 1983 году Министерство обороны США выпустило Orange Book под названием «Критерии оценки достоверных компьютерных систем» . В это же время стали появляться динамичные руководительские документы госкомиссий, а также критерии оценки безопасности информационных технологий. Был разработан международный стандарт ISO (IEC) № 15408. Единые критерии оценки безопасности в области информационных технологий определяют уровень А как самый высокий, самым низким является класс D. Исходя из компромисса между требованиями безопасности, эффективностью системы, ее ценой, получают сертификаты: класс D называется минимальным уровнем безопасности. В него попадают системы, которые были заявлены в сертификацию, но ее не прошли. класс C 1 – называется «избирательная защита доступа» . Предусматривает наличие достоверной вычислительной базы TCB, выполняет требования к избирательной безопасности, отделяет пользователей от данных.
класс C 2 называется «управляемая защита доступа» . Нужно четко контролировать защиту доступа, так как есть процедуры идентификации (ввод логина и пароля) и аутентификация (код с карт). Есть возможность выдачи привилегий доступа, ведется аудит событий. Ресурсы изолированы. класс B 1 – маркированное обеспечение безопасности. С 2 + описана модель политики безопасности и есть принудительное управление доступом к субъектам и объектам. класс В 2 – «структурированная защита» . ТCB определяется и опирается на четкую документированную формальную модель политики безопасности. Она декомпозируется на элементы, ведется системный анализ администрирования, есть четкие механизмы управления конфигурацией.
класс В 3 - «домены безопасности» . ТСВ должна удовлетворять требованиям эталонных механизмов мониторинга, контролировать весь доступ субъектов к объектам, доступ можно тестировать и анализировать, механизмы аудита имеют возможность оповещать о событиях, критичных по отношению к безопасности. Есть процедуры восстановления систем. Система устойчива к вторжениям. класс А 1 – верифицированное проектирование. В 3 + дополнительные архитектурные особенности политики безопасности: имеется формальная спецификация проектирования и методы верификации.
3. Классификация угроз информационной безопасности Угрозы безопасности деятельности предприятий и информации делятся на внешние и внутренние. Их перечень индивидуален для каждой организации. Однако, общими для всех являются: -стихийные бедствия, -техногенные катастрофы, -непреднамеренные ошибки персонала (нарушители), -преднамеренные действия (злоумыш-ленники).
Ко всем информационным системам относится следующий перечень угроз: - противоправный сбор и использование данных; - нарушение технологий обработки данных; - внедрение аппаратных и программных закладок, которые нарушают нормальное функционирование информационных систем; - создание и распределение вредоносных программ (троянские кони, логические бомбы, сетевые черви); - уничтожение и повреждение информационных систем и каналов связи; - утечка информации по техническим каналам; - внедрение устройств для перехвата информации; - хищение, повреждение и уничтожение носителей; - несанкционированный доступ в информационные системы, базы и банки знаний.
4. Понятие компьютерной преступности С точки зрения уголовного кодекса, не существует компьютерной преступности. Попытаемся кратко обрисовать явление, которое как социологическая категория получила название компьютерная преступность. Компьютерную преступность условно можно разделить на 2 категории: 1) преступления, связанные с вмешательством в работу компьютеров. Несанкционированный доступ к информации, хранящейся в компьютере, осуществляется с использованием чужого имени и изменением адресов технических устройств, использование информации, оставшейся после решения задач, модификация программного и информационного обеспечения, хищение носителей информации, установка аппаратуры записи.
2) преступления, использующие компьютеры, как необходимые технические средства. Ввод в программное обеспечение «логических бомб» , которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему. Разработка и распространение компьютерных вирусов. Троянские кони обладают свойствами переходить через коммуникационные сети из одной системы в другую, распространяясь как вирусное заболевание. Вирусы могут быть внедрены в операционную систему, прикладную программу или сетевой драйвер. Естественно, против вирусов создаются антивирусные программы. Защитные программы делятся на: фильтрующие (препятствуют проникновению вирусов), противоинфекционные (постоянно контролируют состояние в системе), противовирусные (настроены на выявление определенных вирусов). Преступная небрежность в разработке, изготовлений и эксплуатации программно - вычислительных комплексов, приведшая к тяжким последствиям: а) подделка компьютерной информации; 6) хищение компьютерной информации.
5. Программно-техническое обеспечение безопасности ИС При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Меры, направленные на предупреждение преступления: 1) технологические меры: защита от несанкционированного доступа, резервирования особо важных подсистем, установка оборудования для обнаружения и тушения пожара, обнаружения воды, принятие мер защиты от хищения, саботажа, диверсий, взрывов, установка резервных систем питания. 2) организационные меры: охрана вычислительного центра, тщательный подбор персонала, наличие плана восстановления работоспособности центра после выхода его из строя, выбор местоположения центра и т. п. ). 3) правовые меры: разработка норм, устанавливающих ответственность за компьютерные преступления, защита авторских прав программистов, вопросы общественного контроля за разработчиками компьютерных систем и принятия международных договоров об их ограничении.
6. Средства защиты В зависимости от видов нарушения работы сетей, виды защиты объединяют в три основных класса: 1) средства физической защиты: средства защиты кабельной системы, средства защиты электропитания, средства архивации, дисковые массивы. 2) программные средства: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа. 3) административные меры защиты. Направления: контроль доступа в помещения, разработка стратегий безопасности организации, планы действий в чрезвычайных ситуациях. Это деление считается достаточно условным, поскольку технологии защиты развиваются в направлении программных и аппаратных средств.
7. Корпоративные проекты информационной безопасности. Безопасность в компьютерных сетях. Самой открытой остается проблема защиты информации в компьютерных системах. Формируют три задачи в этой области: 1) обеспечение целостности данных – это защита от сбоев, ведущих к потере данных или их уничтожению; 2) обеспечение конфиденциальности информации; 3) обеспечение доступности информации для авторизованных пользователей. Сбои работы оборудования приводят к потере данных. Инфицирование программ, направленное хранение архивных данных, нарушение прав доступа, некорректная работа пользователей приводят к нарушениям работы в сетях. Различают 3 типа защиты сетей: 1) физическая; 2) программная; 3) административная.
В корпорациях к средствам физической защиты относят системы архивации и дублирования информации. В локальных сетях с 2 -мя серверами системы защиты, устанавливаются в свободные слоты серверов. В крупных сетях выделяют отдельный сервер, который архивирует автоматически информацию с жестких дисков, серверов в определенное время и выдает отчет о резервном копировании. Для борьбы с компьютерными вирусами применяются антивирусные платы. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях – идет сканирование систем компьютера до их загрузки, определяется контроль доступа и разграничение полномочий пользователя, используются встроенные средства сетевых операционных систем (от корпорации Novel система NETWEAR, предусматривается кодирование по принципу открытого ключа с формированием электронной подписи). На супермощных компьютерах открытый ключ неудобен, т. к. появляется временной интервал, за который можно проникнуть в систему, поэтому в компьютерных сетях используют комбинированный подход – пароль + идентификация пользователя по персональному ключу ( это пластиковая смарт - карта или устройство для идентификации личности по биологической информации)
Смарт - карты позволяют реализовать функции: контроль входа , доступ к устройствам, программам, файлам и командам. Пример: KERBEROS. В ней включены 3 компонента: 1) база данных с информацией по всем сетевым пользователям, паролям, информационным ключам; 2) авторизационный сервер – обрабатывает запросы на предоставление вида сетевых услуг, обращается к базе данных, определяет полномочия на совершение операций. Пароли по сети не передаются; 3) сервер выдачи разрешений – получает от авторизованного сервера пропуск с именем пользователя, его сетевым адресом, временем запроса и уникальный ключ, который при тождественности позволяет использовать сетевую аппаратуру и программы. Для организации удаленного доступа используется кабельные линии и радиоканалы. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов – это разделение и передача параллельно по двум линиям, что делает невозможным перехват данных при хакерских подключениях.
Мосты и маршрутизаторы запрограммированы так, что удаленным пользователям не все ресурсы центра компании могут быть доступны. Разработаны специальные устройства контроля доступа, которые используются в сетях по коммутируемым линиям. Например, модуль RPSD, который состоит из двух блоков, размером с обычный модем: - RPSD Look устанавливается в центральном офисе; - RPSD Кey подключается к модему удаленного пользователя. Эти устройства позволяют шифровать данные, которые передаются по линиям при помощи генерируемых цифровых ключей, контролировать доступ с учетом для недели или времени суток. Чтобы не хранить пароли в явном виде, пишутся прикладные программы, которые вызывают утилиты восстановления и копирования данных. Определяется 7 классов защищенности к средам защиты от несанкционированного доступа (1 -7) и 9 классов защиты автоматизированных систем (1 А, 1 Б, 1 В, 1 Г, 1 Д, 2 А, 2 Б, 3 А, 3 Б). Самые низкие 3 Б и 7.
8. Методы защиты информации На всех предприятиях вне зависимости от формы собственности и размеров выделяют однотипные методы и способы защиты. Блок методов защиты – это препятствие, регламентация, разграничение доступа, маскировка, побуждение и принуждение. Препятствие (физический способ защиты) - установка ограждений вокруг предприятия, ограничение доступа в здание и помещение, установка сигнализации, охрана. Маскировка – использование криптографических программных средств (закодированный). Побуждение – соблюдение этических норм при обработке и использовании информации. Регламентация – наличие инструкций и регламента по обработке информации. Принуждение, запрещение – наличие правовых норм, определяющих юридическую ответственность.
Все методы и способы защиты объединяются в подсистему и устанавливаются в информационных системах: 1) подсистема разграничения доступа – защищает вход в информационную систему с помощью паролей и программно – технических средств. 2) подсистема регистрации и учета – осуществляет регистрацию в специальном электронном журнале пользователей и программ, получивших доступ в систему к файлам и базам данных, время входа и выхода и все операции. 3) криптографическая – это специальные программы, которые осуществляют шифрование и расшифрование данных (используются в электронном бизнесе) 4) подсистема обеспечения целостности – состоит из физической охраны средств вычислительной техники и носителей, наличие средств тестирования программ и данных, использование сертифицированных средств защиты.
9. Нормативные акты об информатизации и защите информатизации в Беларуси. К основным документам об информатизации относится: Закон Республики Беларусь «Об информации, информатизации и защите информации» , принятый 10 ноября 2008 года. Государственное регулирование в области информации, информатизации и защиты информации включает: обеспечение условий для реализации и защиты прав государственных органов, физических и юридических лиц; создание системы информационной поддержки решения задач социально-экономического и научно-технического развития Республики Беларусь; создание условий для развития и использования информационных технологий, информационных систем и информационных сетей на основе единых принципов технического нормирования и стандартизации, оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации;
формирование и осуществление единой научной, научно-технической, промышленной и инновационной политики в области информации, информатизации и защиты информации с учетом имеющегося научнопроизводственного потенциала и современного мирового уровня развития информационных технологий; создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов в области информации, информатизации и защиты информации; содействие развитию рынка информационных технологий и информационных услуг, обеспечение условий для формирования и развития всех видов информационных ресурсов, информационных систем и информационных сетей; обеспечение условий для участия Республики Беларусь, административно-территориальных единиц Республики Беларусь, государственных органов, физических и юридических лиц в международном сотрудничестве, включая взаимодействие с международными организациями, обеспечение выполнения обязательств по международным договорам Республики Беларусь; совершенствование законодательства Республики Беларусь об информации, информатизации и защите информации и др.
Скачать презентацию Обеспечение безопасности информационных систем Вопросы 1 2
Tema_3_6.ppt