2. Угрозы, как проявление умышленных и незаконных действий, в результате которых происходит изменение, уничтожение или разглашение системных ресурсов, либо просто создаются затруднения в регулярном функционировании системы.
Меры по обеспечению целостности или ограничения по целостности являются процедурами и методами для устранения случайных действий аппаратуры и пользователей, появляющихся во время работы. С другой стороны, превентивные методы, применяемые умышленной разрушительной деятельности, называются компьютерной защитой. Следовательно, логическая структура политики безопасности должна включать в себя активную защиту и пассивное сохранение целостности системных ресурсов.
Кроме того, в пределах корпоративной интранет используются различные стратегии, большинство из которых разрабатываются и реализуются в виде так называемых служб обеспечения безопасности. Каждая стратегия относится к какому-либо специфическому аспекту функционирования компьютерной системы. Отсюда, функция первой службы обеспечения безопасности состоит в идентификации и аутентификации пользователя, которая осуществляет проверку личности.
1.4.2 Идентификация пользователя
Идентификация - это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает. Пример аутентификации с помощью электронной почты приведен на рисунке Г.2 (смотри Приложение Г).
Конечная цель идентификации и установления подлинности объекта в вычислительной системе - допуск его к информации ограниченного пользования в случае положительного исхода проверки или отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и установления подлинности в вычислительной системе могут быть:
• человек (оператор, пользователь, должностное лицо);
• техническое средство (терминал, дисплей, ЭВМ, КСА);
• документы (распечатки, листинги и др.);
• носители информации (магнитные ленты, диски и др.);
• информация на дисплее, табло и т. д.
Установление подлинности объекта может производиться человеком, аппаратным устройством, программой, вычислительной системой и т. д.
В вычислительных системах применение указанных методов в целях защиты информации при ее обмене предполагает конфиденциальность образов и имен объектов.
При обмене информацией между человеком и ЭВМ (а при удаленных связях обязательно) вычислительными системами в сети рекомендуется предусмотреть взаимную проверку подлинности полномочий объекта и субъекта. В указанных целях необходимо, чтобы каждый из объектов (субъектов) хранил в своей памяти, недоступной для посторонних, список образов (имен) объектов (субъектов), с которыми производится обмен информацией, подлежащей защите.
В вычислительных системах с централизованной обработкой информации и относительно невысокими требованиями к защите установление ее подлинности на технических средствах отображения и печати гарантируется наличием системы защиты информации данной вычислительной системы. Однако с усложнением вычислительных систем по причинам, указанным выше, вероятность возникновения несанкционированного доступа к информации и ее модификации существенно увеличивается. Поэтому в более ответственных случаях отдельные сообщения или блоки информации подвергаются специальной защите, которая заключается в создании средств повышения достоверности информации и криптографического преобразования. Установление подлинности полученной информации, включая отображение на табло и терминалах, заключается в контроле положительных результатов обеспечения достоверности информации и результатов дешифрования полученной информации до отображения ее на экране. Подлинность информации на средствах ее отображения тесно связана с подлинностью документов. Достоверность информации на средствах отображения и печати в случае применения указанных средств защиты зависит от надежности функционирования средств, доставляющих информацию на поле отображения после окончания процедур проверки ее достоверности. Чем ближе к полю отображения (бумажному носителю) эта процедура приближается, тем достовернее отображаемая информация.
1.4.3 Разработка механизмов обеспечения безопасности
Разработка и реализация методов обеспечения безопасности в компьютерной системе существуют в четырех ипостасях: технический, физический и административный контроль, а также правовые и социальные вопросы.
Физическая безопасность: данный уровень представляет собой средства физической защиты компьютерного оборудования - замки, предохранители, устройства тревоги, противопожарные элементы, механизмы защиты хранилищ данных и т.п. Конечно, указанные меры не могут быть применены к оборудованию связи (спутники, открытые коммутируемые сети [PSN] и др.), которые выходят из под контроля данной организации. Безопасность на физическом уровне зависит от организации, которой принадлежит программное и аппаратное обеспечение.
Следующим уровнем безопасности является административный контроль, обеспечивающий корректное управление и использование системы или интранет. К его проведению должны быть подключены программисты, системные инженеры и менеджеры информационных систем. Далее это распространятся на отделы кадров, бухгалтерию и дирекцию.
Наконец, последним уровнем, также очень важным, являются правовые и социальные нормы.
Каждый сотрудник и каждая организация, ответственные за обеспечение безопасности, при разработке и реализации эффективной системы защиты должны строго следовать определенным процедурам. На первом месте стоят осознание и выявление всех угроз для глобальной информационной инфраструктуры или компьютерных устройств. Каждая операция представляет собой источник возможной опасности и возникновения проблем. Степень серьезности каждой из проблем зависит от пользователей и ресурсов системы, а также от содержимого и статуса последних. Можно предложить следующую последовательность рассуждений:
1. Для обеспечения безопасности компьютерной системы сначала вы должны составить список ожидаемых угроз.
2. Список доступных в системе операций следует соотнести со списком угроз.
3. Каждая угроза и соответствующая ей операция должны быть связаны с конкретным ресурсом, его важностью и его содержимым. Часто это называют анализом уязвимости.
Следующим шагом является определение и оценка вероятности возникновения всех возможных опасностей, а также их последствий. Данный процесс называется анализом риска или управление риском. При его проведении определяются требования к службам обеспечения безопасности интранет-сети ресурсоемкость. Каждая служба безопасности может быть реализована личными способами с использованием множества механизмов. Другими словами, чтобы разработать наиболее эффективную систему безопасности для конкретной установки, необходимо, чтобы сотрудники произвели оценку и проверку всех возможных механизмов безопасности.
Следовательно, в случае возникновения неисправности или сбоя в реализованной системе безопасности, для ее настройки на новые изменившиеся условия может потребоваться восстановление некоторых ресурсов, особенно тех из них, где нарушена защита или целостность.
Поэтому, для создания надежной системы безопасности все пользователи, администраторы и руководители компании должны соблюдать вышеуказанную последовательность шагов. Решения, возникающие при их выполнении, составляют политику безопасности. Другими словами, политика безопасности представляет собой план действий и норм для применения методов безопасности. Во время повседневной работы данной системы она декларирует, что является разрешенным, а что запрещено. В сущности, политика безопасности (совместно с применяемым законодательством и нормами) определяет следующие аспекты:
• В каких рамках будут использоваться коммуникационные линии организации?
• Какой тип данных будет использоваться при передаче?
• Какое поведение является приемлемым для пользователей системы ?
• Кто является ответственным за безопасность в интранет-сети?
• Имеются ли бюджетные ограничения в вопросах безопасности?
Все указанные аспекты являются составными частями работы интранет вычислительной системы в целом. Окончательное решение о размерах каждой структуры безопасности принимается из расчета используемых сервисов и механизмов защиты, как они будут реализованы, использованы, и как над ними будут производиться управление и контроль.
2 средства защиты информации на кафедрах ЭИ и АУ и Ф и ПМ
2.1 Характеристика информации, хранимой на кафедрах ЭИ и АУ и Ф и ПМ
Усложнение методов и средств организации машинной обработки информации приводит к тому, что информация становится более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ как к ресурсам ПЭВМ, так к программам и данным, хранящимся в них, усложнением режимов эксплуатации вычислительных систем и т.п.