Реферат з теми:
"Інформаційна безпека економічних систем"
Способи і засоби захисту інформації в АІС
Досвід експлуатації існуючих комп'ютерних системобробки інформації показує, що проблема забезпечення безпеки ще далека відсвого рішення, а пропоновані виробниками різних систем засоби захисту сильнорозрізняються як за важливість справ і використовуваним методам, так і задосягнутими результатами.
Політика безпеки – сукупність норм і правил, щозабезпечують ефективний захист системи обробки інформації від заданої множинизагроз.
Модель безпеки – формальне подання політикибезпеки.
Дискреційне, або довільне, управління доступом – управліннядоступом, засноване на сукупності правил надання доступу, визначених на множиніатрибутів безпеки суб'єктів і об'єктів, наприклад, в залежності від грифасекретності інформації та рівня допуску користувача.
Ядро безпеки – сукупність апаратних, програмних іспеціальних компонентів обчислювальної системи (ОС), що реалізують функціїзахисту та забезпечення безпеки.
Ідентифікація – процес розпізнавання сутностейшляхом присвоєння їм унікальних міток (ідентифікаторів).
Аутентифікація – перевірка достовірності ідентифікаторівсутностей за допомогою різних (переважно криптографічних) методів.
Адекватність – показник реально забезпечуваногорівня безпеки, що відображає ступінь ефективності та надійності реалізованихзасобів захисту та їх відповідності поставленим завданням (в більшості випадківце завдання реалізації політики безпеки).
Кваліфікаційний аналіз, кваліфікація рівнябезпеки-аналіз ВС з метою визначення рівня її захищеності і відповідностівимогам безпеки на основі критеріїв стандарту безпеки.
Таксономія – наука про систематизації такласифікації складноорганізованих об'єктів і явищ, що мають ієрархічну будову.
Таксономія заснована на декомпозиції явищ тапоетапному уточнення властивостей об'єктів (ієрархія будується зверху вниз).
Пряма взаємодія – принцип організаціїінформаційної взаємодії (як правило, між користувачем і системою), якийгарантує, що передана інформація не піддається перехопленню чи спотворення.
Захищена система обробки інформації для певнихумов експлуатації забезпечує безпеку (доступність, конфіденційність іцілісність) оброблюваної інформації і підтримує свою працездатність в умовахвпливу на неї заданої множини загроз.
Захищена система обробки інформації
Під захищеної системою обробки інформаціїпропонується розуміти систему, яка:
• здійснює автоматизацію деякого процесу обробкиконфіденційної інформації, включаючи всі аспекти цього процесу, пов'язані ззабезпеченням безпеки оброблюваної інформації;
• успішно протистоїть загрозам безпеки, що діютьв певному середовищі;
• відповідає вимогам та критеріям стандартівінформаційної безпеки.
Звідси випливають такі завдання, які необхідно ідостатньо вирішити, для того щоб створити захищену систему обробки інформації,а саме:
• в ході автоматизації процесу обробкиконфіденційної інформації реалізувати всі аспекти цього процесу, пов'язані ззабезпеченням безпеки оброблюваної інформації;
• забезпечити протидію загрозам безпеці, що діютьу середовищі експлуатації захищеної системи;
• реалізувати необхідні вимоги відповіднихстандартів інформаційної безпеки.
Загрози безпеці комп'ютерних систем
Під загрозою безпеки комп'ютерних системрозуміються впливу на систему, які прямо чи побічно можуть завдати шкоди їїбезпеки.
Наведемо найбільш загальну класифікацію можливихзагроз безпеки. Всі загрози можна розділити по джерелу і характером прояву.
Випадкові загрози виникають незалежно від волі ібажання людей.
Даний тип загроз пов'язаний насамперед з прямимфізичним впливом на елементи комп'ютерної системи (частіше всього природногохарактеру) і веде до порушення роботи цієї системи та / або фізичного знищенняносіїв інформації, засобів обробки та передачі даних, фізичних ліній зв'язку.
Навмисні загрози на відміну від випадкових можутьбути створені тільки людьми та спрямовані саме на дезорганізацію комп'ютерної системи.
Передумови кризової ситуації забезпеченнябезпеки інформаційних систем
На сучасному етапі існують такі передумовикризової ситуації забезпечення безпеки інформаційних систем (ІС):
• сучасні комп'ютери за останні роки набуливеликої обчислювальну потужність, але одночасно з цим стали набагато простіше вексплуатації;
• прогрес в області апаратних засобів поєднуєтьсяз ще більш бурхливим розвитком ПЗ;
• розвиток гнучких і мобільних технологій обробкиінформації привело до того, що практично зникає межа між оброблюваними данимита виконуваними програмами за рахунок появи і широкого поширення віртуальнихмашин і інтерпретаторів;
• невідповідність бурхливого розвитку засобівобробки інформації та повільної опрацювання теорії інформаційної безпеки призвелодо появи істотного розриву між теоретичними моделями безпеки, що оперуютьабстрактними поняттями типу «об'єкт», «суб'єкт» і реальними категоріямисучасних ІТ;
• необхідність створення глобальногоінформаційного простору та забезпечення безпеки протікають в ньому процесівзажадали розробки міжнародних стандартів, дотримання яких може забезпечитинеобхідний рівень гарантії забезпечення захисту.
Внаслідок сукупної дії всіх перерахованихфакторів перед розробниками сучасних ІС, призначених для обробки конфіденційноїінформації, стоять наступні завдання, що вимагають негайного і ефективноговирішення:
• забезпечення безпеки нових типів інформаційнихресурсів;
• організація довіреної взаємодії сторін(взаємної ідентифікації / аутентифікації) в інформаційному пространстве;
• захист від автоматичних засобів нападу;
• інтеграція в якості обов'язкового елементазахисту інформації в процесі автоматизації її обробки.
Під захистом інформації в комп'ютерних системахприйнято розуміти створення і підтримку організованої сукупності засобів,способів, методів і заходів, призначених для попередження спотворення, знищенняі несанкціонованого використання інформації, що зберігається та обробляється велектронному вигляді.
Поряд з визначенням поняття «захист інформації»важливим питанням є класифікація наявних способів і засобів захисту, якідозволяють перешкодити забороненого (незаконному) її використання.
Способи захисту інформації в комп'ютернихмережах та засоби, якими вони можуть бути реалізовані
Розглянемо кожен із способів.
Перешкоди передбачають створення перешкод,фізично не допускають до інформації.
Управління доступом – спосіб захисту інформаціїза рахунок регулювання використання всіх ресурсів системи (технічних,програмних, тимчасових і ін.)
Маскування інформації, як правило, здійснюєтьсяшляхом її криптографічного закриття.
Регламентація полягає у реалізації системиорганізаційних заходів, які визначають всі сторони обробки інформації.
Примус змушує дотримуватись певних правил роботиз інформацією під загрозою матеріальної, адміністративної чи кримінальноївідповідальності.
Спонукання засноване на використанні дієвостіморально-етичних категорій (наприклад, авторитету чи колективноївідповідальності).
Засоби захисту інформації, що зберігається таобробляється в електронному вигляді, поділяють на три самостійні групи:технічні, програмні та соціально-правові.
У свою чергу, серед технічних засобів захистувиділяють фізичні та апаратні.
До фізичних засобів захисту відносяться:
• механічні перешкоди, турнікети (загородження);спеціальне скління;
• сейфи, шафи;
• механічні та електромеханічні замки, в томучислі з дистанційним управлінням;
• замки з кодовим набором;
• датчики різного типу;
• теле-і фотосистеми спостереження і реєстрації;
• СВЧ, ультразвукові, радіолокаційні, лазерні,акустичні системи та ін;
• пристрої маркування;
• пристрої з ідентифікаційними картками;
• пристрої ідентифікації за фізичними ознаками;
• пристрої просторового заземлення;
• системи фізичного контролю доступу;
• системи охоронного телебачення та охоронноїсигналізації;
• системи пожежегасіння та оповіщення про пожежута ін
Під апаратними засобами захисту розуміютьтехнічні пристрої, що вбудовуються безпосередньо в системи (апаратуру) обробкиінформації. Найбільш часто використовують:
• регістри зберігання реквізитів захисту(паролів, грифів секретності і т. п.);
• пристрої для вимірювання індивідуальниххарактеристик людини (наприклад, кольору і будови райдужної оболонки очей,овалу обличчя тощо);
• схеми контролю кордонів адреси імен для визначеннязаконності звернення до відповідних полів (областях) пам'яті і окремимипрограмами;
• схеми переривання передачі інформації в лініїзв'язку з метою періодичного контролю адрес видачі даних;
• екранування ЕОМ;
• установка генераторів перешкод і ін
Програмні засоби захисту даних в даний час набулизначного розвитку. За цільовим призначенням їх можна розділити на декількавеликих класів (груп):
• програми ідентифікації користувачів;
• програми визначення прав (повноважень)користувачів (технічних пристроїв);
• програми реєстрації роботи технічних засобів ікористувачів (ведення так званого системного журналу);
• програми знищення (затирання) інформації післярозв'язання відповідних задач або при порушенні користувачем певних правилобробки інформації;
• криптографічні програми (програми шифруванняданих).
Засоби захисту в економічних ІС, у тому числібанківських системах, дозволяють реалізувати наступні функції захисту даних:
• упізнання по ідентифікуючої інформаціїкористувачів і елементів ІС, дозвіл на цій основі роботи з інформацією напевному рівні;
• ведення Багаторозмірні таблиць профілів доступукористувачів до даних;
• управління доступом за профілями повноважень;
• знищення тимчасово фіксованих областейінформації при завершенні її обробки;
• формування протоколів звернень до захищуванихданими з ідентифікацією даних про користувача і тимчасових характеристик;
• програмна підтримка роботи терміналу особи, якавідповідає за безпеку інформації;
• подача сигналів при порушенні правил роботи зсистемою або правил обробки інформації;
• фізична або програмна блокування можливостіроботи користувача при порушенні ним певної послідовності правил або вчиненняпевних дій;
• підготовка звітів про роботу з різними даними –ведення докладних протоколів роботи та ін
Криптографічні Програма базується на використанніметодів шифрування (кодування) інформації. Дані методи залишаються доситьнадійними засобами її захисту. і більш докладно будуть розглянуті нижче.
У перспективі можна очікувати розвитку програмнихзасобів захисту за двома основними напрямками:
• створення централізованого ядра безпеки,керуючого всіма засобами захисту інформації в ЕОМ (на першому етапі – в складіОС, потім – за її межами);
• децентралізація захисту інформації аж достворення окремих засобів, керованих безпосередньо тільки користувачем. Урамках цього напряму знаходять широке застосування методи «естафетної палички»і «паспорти», засновані на попередньому розрахунку спеціальних контрольнихкодів (по ділянках контрольованих програм) та їх порівнянні з кодами, якіотримуються в результаті виконання завдання.
Організаційні та законодавчі засоби захистуінформації передбачають створення системи нормативно-правових документів, щорегламентують порядок розробки, впровадження та експлуатації інформації, атакож відповідальність посадових та юридичних осіб за порушення встановленихправил, законів, наказів, стандартів і т. п.
Морально-етичні засоби захисту інформаціїзасновані на використанні моральних та етичних норм, які панують у суспільстві,і вимагають від керівників усіх рангів особливої турботи про створення вколективах здорової моральної атмосфери.
Шифрування інформації
Специфічним способом захисту інформації можнаназвати шифрування. Шифрування інформації, що зберігається та обробляється велектронному вигляді, – це нестандартна кодування даних, що виключає абосерйозно ускладнює можливість їх прочитання (одержання у відкритому вигляді)без відповідного програмного або апаратного забезпечення і, як правило, вимагаєдля відкриття даних пред'явлення строго певного ключа (пароля, карти, відбиткаі т.д.). Шифрування умовно об'єднує чотири аспекти захисту інформації:керування доступом, реєстрацію і облік, криптографічний захист, забезпеченняцілісності інформації. Воно включає в себе безпосереднє шифрування інформації,електронний підпис і контроль доступу до інформації.
Захист даних за допомогою електронного підпису.
Електронний підпис – вставка в дані (додавання)фрагмента чужорідної зашифрованої інформації. Застосовується для ідентифікаціїавтентичності переданих через треті особи документів і довільних даних.
Сама передана інформація при цьому ніяк незахищається, тобто залишається відкритою і доступною для ознайомлення тимособам, через яких вона передається (наприклад, адміністраторам мережі таінспекторам поштових вузлів електронного зв'язку).
Шифрування для забезпечення контролю правдоступу.
Контроль права доступу – простий засіб захистуданих і обмеження використання комп'ютерних ресурсів, призначене для огорожіпаролем певної інформації та системних ресурсів ЕОМ від осіб, які не мають доних відношення і не мають спеціального наміру отримати до них доступ або неволодіють достатньою для цього кваліфікацією.
З іншого боку, однією з найбільш поширених причинвтрати інформації були і залишаються комп'ютерні віруси.
Комп'ютерний вірус – це спеціально написана, якправило, на мові програмування низького рівня невелика за розмірами програма,яка може «приписувати» себе до інших програм і виконувати різні небажані длякористувача дії на комп'ютері.
Життєвий цикл вірусу
Життєвий цикл вірусу включає чотири основнихетапи:
• впровадження;
• інкубаційний період (перш за все дляприховування джерела проникнення);
• «репродукування» (саморозмноження);
• деструкція (спотворення та / або знищення інформації).
Боротьба з вірусами ведеться шляхом застосуванняпрограм-антивірусів. Антивірус – програма, що здійснює виявлення чи виявленнята видалення вірусу. Найбільш популярними і ефективними антивіруснимипрограмами є антивірусні сканери.
На закінчення підкреслимо два найважливішихобставини:
по-перше, захист інформації від несанкціонованихдій ефективна тільки тоді, коли комплексно (системно) застосовуються всі відоміспособи і засоби,
по-друге, захист повинен здійснюватисябезперервно.
Література
1. Автоматизированные информационные технологии в экономике:учебник. Под ред. проф. Титоренко Г.А. – М.: ЮНИТИ, 2000. – 400 с.
2. Информационные системы в экономике: учебное пособие. Под ред. В.Б. Уткина,Г.В. Балдина. – М.: Академия, 2006. – 288 с.
3. Информационные технологии в экономике: учебное пособие. Подред. Ю.Ф. Симионова. – Ростов-на-Дону: Феникс, 2003. – 352 с.
4. Мишенин А.И. Теория экономических информационныхсистем: учебник. – М.: Финансы и статистика, 1999. – 240 с.
5. Матвеев Л.А. Компьютерная поддержка решений: учебник.– СПБ.: Специальная литература, 1998. – 472.
6. Марухина О.В. Информационные системы в экономике:учебное пособие. – Томск: Из-во ТПУ, 2005. – 160 с.
7. Петров В.Н. Информационные системы / учебник длявузов. – СПб. -2002. – 186 с.