КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Информационная безопасность экономических систем
|
|
|
|
Информационные угрозы экономическим объектам
Угрозы безопасности информационным объектам подразделяются на 4 группы:
1. Угрозы конфиденциальности данных и программ.
2. Угрозы целостности данных, программ, аппаратуры.
3. Угрозы доступности данных.
4. Угрозы отказа от выполнения транзакций (Транзакция — это передача сообщений с подтверждением об их передаче и приеме ). Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.
Угрозы могут быть обусловлены: 1) естественными факторами (стихийные бедствия — пожар, наводнение, ураган, молния и другие причины); 2) человеческими факторами, которые в свою очередь подразделяются на: пассивные угрозы (угрозы, носящие случайный, неумышленный характер - это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации; с нецеленаправленной "утечкой умов", знаний, информации); активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей - это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства и т.д.); 3) человеко-машинными и машинными факторами, подразделяющимися на: пассивные угрозы (э то угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент; с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации); активные угрозы (это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы).
Способы воздействия угроз на информационные объекты подразделяются на 5: 1) И нформационные способы 2) Программно-математические способы 3) Физические способы 4) Радиоэлектронные способы 5) Организационно-правовые способы включают: невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию. Аналогично подразделяются и способы защиты от информационных угроз.
|
|
|
Информационная безопасность: состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства; состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании; состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как секретность, целостность и доступность.
Понятие информационной безопасности в узком смысле этого слова подразумевает: надежность работы компьютера; сохранность ценных данных; защиту информации от внесения в нее изменений неуполномоченными лицами; сохранение тайны переписки в электронной связи.
Конфиденциальность компьютерной информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т.д.). Безопасность информационной системы достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности ресурсов системы. Систему обеспечения безопасности информации можно разбить на следующие подсистемы: компьютерную безопасность; безопасность данных; безопасное программное обеспечение; безопасность коммуникаций. К объектам информационной безопасности на предприятии относят: информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных; средства и системы информатизации. Среди организационных мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). Функционирование системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает: учет, хранение и выдачу пользователям информационных носителей, паролей, ключей; ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа); оперативный контроль за функционированием систем защиты секретной информации; контроль соответствия общесистемной программной среды эталону; приемку включаемых в АИТ новых программных средств; контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей; сигнализацию опасных событий и т.д.
|
|
|
Создание базовой системы защиты информации в АИТ основывается на следующих принципах: Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, Полнота контроля и регистрации попыток несанкционированного доступа, Обеспечение надежности системы защиты, Обеспечение контроля за функционированием системы защиты, “Прозрачность” системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ, Экономическая целесообразность использования системы защиты.
Проблема создания системы защиты информации включает в себя две взаимно дополняющие задачи. 1. Разработка системы защиты информации (ее синтез). 2. Оценка разработанной системы защиты информации. (экспертный путь с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения).
|
|
|
Рассмотрим основное содержание представленных средств и методов защиты информации, которые составляют основу механизмов защиты. Методы: Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.); Управление доступам — метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (идентификация пользователей, персонала и ресурсов системы; опознание объекта или субъекта по предъявленному им идентификатору; проверка полномочий; реагирование при попытках несанкционированных действий.). Маскировка — метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным. Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Принуждение — пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение — побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
К основным средствам защиты, используемым для создания механизма защиты, относятся следующие: Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные (устройства, встраиваемые непосредственно в вычислительную технику) и физические (автономные устройства и системы). Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
|
|
|
Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой последовательностью, обычно называемым шифрующим ключом. Шифрование может быть симметричным (использование одного и того же секретного ключа для де/шифрования) и асимметричным (разные ключи, дешифр. - секретный). Наряду с шифрованием используются и другие механизмы безопасности: Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. Механизмы обеспечения целостности данных применяются как к отдельному блоку, так и к потоку данных. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной. Механизмы постановки графика, называемые также механизмами заполнения текста, используются для реализации засекречивания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети (нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи). Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам. Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). В АИТ при организации безопасности данных используется комбинация нескольких механизмов.
|
|
|
|
|
Дата добавления: 2014-01-13; Просмотров: 2929; Нарушение авторских прав?; Мы поможем в написании вашей работы!