Реферат з теми:
"Інформаційна безпека економічних систем"
Способи і засоби захисту інформації в АІС
Досвід експлуатації існуючих комп'ютерних систем обробки інформації показує, що проблема забезпечення безпеки ще далека від свого рішення, а пропоновані виробниками різних систем засоби захисту сильно розрізняються як за важливість справ і використовуваним методам, так і за досягнутими результатами.
Політика безпеки – сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз.
Модель безпеки – формальне подання політики безпеки.
Дискреційне, або довільне, управління доступом – управління доступом, засноване на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад, в залежності від грифа секретності інформації та рівня допуску користувача.
Ядро безпеки – сукупність апаратних, програмних і спеціальних компонентів обчислювальної системи (ОС), що реалізують функції захисту та забезпечення безпеки.
Ідентифікація – процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів).
Аутентифікація – перевірка достовірності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів.
Адекватність – показник реально забезпечуваного рівня безпеки, що відображає ступінь ефективності та надійності реалізованих засобів захисту та їх відповідності поставленим завданням (в більшості випадків це завдання реалізації політики безпеки).
Кваліфікаційний аналіз, кваліфікація рівня безпеки-аналіз ВС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки.
Таксономія – наука про систематизації та класифікації складноорганізованих об'єктів і явищ, що мають ієрархічну будову.
Таксономія заснована на декомпозиції явищ та поетапному уточнення властивостей об'єктів (ієрархія будується зверху вниз).
Пряма взаємодія – принцип організації інформаційної взаємодії (як правило, між користувачем і системою), який гарантує, що передана інформація не піддається перехопленню чи спотворення.
Захищена система обробки інформації для певних умов експлуатації забезпечує безпеку (доступність, конфіденційність і цілісність) оброблюваної інформації і підтримує свою працездатність в умовах впливу на неї заданої множини загроз.
Захищена система обробки інформації
Під захищеної системою обробки інформації пропонується розуміти систему, яка:
• здійснює автоматизацію деякого процесу обробки конфіденційної інформації, включаючи всі аспекти цього процесу, пов'язані з забезпеченням безпеки оброблюваної інформації;
• успішно протистоїть загрозам безпеки, що діють в певному середовищі;
• відповідає вимогам та критеріям стандартів інформаційної безпеки.
Звідси випливають такі завдання, які необхідно і достатньо вирішити, для того щоб створити захищену систему обробки інформації, а саме:
• в ході автоматизації процесу обробки конфіденційної інформації реалізувати всі аспекти цього процесу, пов'язані з забезпеченням безпеки оброблюваної інформації;
• забезпечити протидію загрозам безпеці, що діють у середовищі експлуатації захищеної системи;
• реалізувати необхідні вимоги відповідних стандартів інформаційної безпеки.
Загрози безпеці комп'ютерних систем
Під загрозою безпеки комп'ютерних систем розуміються впливу на систему, які прямо чи побічно можуть завдати шкоди її безпеки.
Наведемо найбільш загальну класифікацію можливих загроз безпеки. Всі загрози можна розділити по джерелу і характером прояву.
Випадкові загрози виникають незалежно від волі і бажання людей.
Даний тип загроз пов'язаний насамперед з прямим фізичним впливом на елементи комп'ютерної системи (частіше всього природного характеру) і веде до порушення роботи цієї системи та / або фізичного знищення носіїв інформації, засобів обробки та передачі даних, фізичних ліній зв'язку.
Навмисні загрози на відміну від випадкових можуть бути створені тільки людьми та спрямовані саме на дезорганізацію комп'ютерної системи.
Передумови кризової ситуації забезпечення безпеки інформаційних систем
На сучасному етапі існують такі передумови кризової ситуації забезпечення безпеки інформаційних систем (ІС):
• сучасні комп'ютери за останні роки набули великої обчислювальну потужність, але одночасно з цим стали набагато простіше в експлуатації;
• прогрес в області апаратних засобів поєднується з ще більш бурхливим розвитком ПЗ;
• розвиток гнучких і мобільних технологій обробки інформації привело до того, що практично зникає межа між оброблюваними даними та виконуваними програмами за рахунок появи і широкого поширення віртуальних машин і інтерпретаторів;
• невідповідність бурхливого розвитку засобів обробки інформації та повільної опрацювання теорії інформаційної безпеки призвело до появи істотного розриву між теоретичними моделями безпеки, що оперують абстрактними поняттями типу «об'єкт», «суб'єкт» і реальними категоріями сучасних ІТ;
• необхідність створення глобального інформаційного простору та забезпечення безпеки протікають в ньому процесів зажадали розробки міжнародних стандартів, дотримання яких може забезпечити необхідний рівень гарантії забезпечення захисту.
Внаслідок сукупної дії всіх перерахованих факторів перед розробниками сучасних ІС, призначених для обробки конфіденційної інформації, стоять наступні завдання, що вимагають негайного і ефективного вирішення:
• забезпечення безпеки нових типів інформаційних ресурсів;
• організація довіреної взаємодії сторін (взаємної ідентифікації / аутентифікації) в інформаційному пространстве;
• захист від автоматичних засобів нападу;
• інтеграція в якості обов'язкового елемента захисту інформації в процесі автоматизації її обробки.
Під захистом інформації в комп'ютерних системах прийнято розуміти створення і підтримку організованої сукупності засобів, способів, методів і заходів, призначених для попередження спотворення, знищення і несанкціонованого використання інформації, що зберігається та обробляється в електронному вигляді.
Поряд з визначенням поняття «захист інформації» важливим питанням є класифікація наявних способів і засобів захисту, які дозволяють перешкодити забороненого (незаконному) її використання.
Способи захисту інформації в комп'ютерних мережах та засоби, якими вони можуть бути реалізовані
Розглянемо кожен із способів.
Перешкоди передбачають створення перешкод, фізично не допускають до інформації.
Управління доступом – спосіб захисту інформації за рахунок регулювання використання всіх ресурсів системи (технічних, програмних, тимчасових і ін.)
Маскування інформації, як правило, здійснюється шляхом її криптографічного закриття.
Регламентація полягає у реалізації системи організаційних заходів, які визначають всі сторони обробки інформації.
Примус змушує дотримуватись певних правил роботи з інформацією під загрозою матеріальної, адміністративної чи кримінальної відповідальності.
Спонукання засноване на використанні дієвості морально-етичних категорій (наприклад, авторитету чи колективної відповідальності).
Засоби захисту інформації, що зберігається та обробляється в електронному вигляді, поділяють на три самостійні групи: технічні, програмні та соціально-правові.
У свою чергу, серед технічних засобів захисту виділяють фізичні та апаратні.
До фізичних засобів захисту відносяться:
• механічні перешкоди, турнікети (загородження); спеціальне скління;
• сейфи, шафи;
• механічні та електромеханічні замки, в тому числі з дистанційним управлінням;
• замки з кодовим набором;
• датчики різного типу;
• теле-і фотосистеми спостереження і реєстрації;
• СВЧ, ультразвукові, радіолокаційні, лазерні, акустичні системи та ін;
• пристрої маркування;
• пристрої з ідентифікаційними картками;
• пристрої ідентифікації за фізичними ознаками;
• пристрої просторового заземлення;
• системи фізичного контролю доступу;
• системи охоронного телебачення та охоронної сигналізації;
• системи пожежегасіння та оповіщення про пожежу та ін
Під апаратними засобами захисту розуміють технічні пристрої, що вбудовуються безпосередньо в системи (апаратуру) обробки інформації. Найбільш часто використовують:
• регістри зберігання реквізитів захисту (паролів, грифів секретності і т. п.);
• пристрої для вимірювання індивідуальних характеристик людини (наприклад, кольору і будови райдужної оболонки очей, овалу обличчя тощо);
• схеми контролю кордонів адреси імен для визначення законності звернення до відповідних полів (областях) пам'яті і окремими програмами;
• схеми переривання передачі інформації в лінії зв'язку з метою періодичного контролю адрес видачі даних;
• екранування ЕОМ;
• установка генераторів перешкод і ін
Програмні засоби захисту даних в даний час набули значного розвитку. За цільовим призначенням їх можна розділити на декілька великих класів (груп):
• програми ідентифікації користувачів;
• програми визначення прав (повноважень) користувачів (технічних пристроїв);
• програми реєстрації роботи технічних засобів і користувачів (ведення так званого системного журналу);
• програми знищення (затирання) інформації після розв'язання відповідних задач або при порушенні користувачем певних правил обробки інформації;
• криптографічні програми (програми шифрування даних).
Засоби захисту в економічних ІС, у тому числі банківських системах, дозволяють реалізувати наступні функції захисту даних: