КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Методы и средства защиты информации
|
|
|
|
Создание системы информационной безопасности основывается на следующих принципах: системный подход, непрерывное развитие, разделение и минимизация полномочий, полнота контроля и регистрации попыток, обеспечение надежности системы защиты, обеспечение контроля за функционированием системы защиты, обеспечение всевозможных средств борьбы с вредоносными программами, обеспечение экономической целесообразности.
Выделяют два подхода к проблеме обеспечения ИБ:
- фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях.;
- комплексный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам..
Для обеспечения ИБ используются следующие основные методы:
- законодательные (законы, нормативные акты, стандарты и т.п.);
- административно-организационные (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, направленные на работу с людьми);
- программно-технические (конкретные технические меры).
К законодательным методам относят комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий потому, что это осуждается и/или наказывается обществом, и потому, что так поступать не принято.
Администратпивно-организационные метод – администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер, к которым относят методы безопасности, реализуемые людьми (управление персоналом, физическая защита, поддержание работоспособности, реагирование на нарушения режима безопасности, планирование восстановительных работ). В любой организации должен существовать набор регламентов, определяющих действия персонала в соответствующих ситуациях.
|
|
|
Программно-технические методы и средства:
- применение защищенных виртуальных частных сетей для защиты информации, передаваемой по открытым каналам связи;
- применение межсетевых экранов для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи;
- управление доступом на уровне пользователей и защита от несанкционированного доступа к информации;
- гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) и других средств аутентификации;
- защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения;
- защита от вирусов с использованием специализированных комплексов антивирусной профилактики и защиты;
- технологии обнаружения вторжений и активного исследования защищенности информационных ресурсов;
- криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации
В настоящее время для организации современных защищенных VPN-каналов широко используется комплекс стандартов сети Интернет, известный под названием IPSec (IP Security).
Средства VPN предприятия могут эффективно поддерживать защищенные каналы трех типов:
- с удаленными и мобильными сотрудниками (защищенный удаленный доступ);
- с сетями филиалов предприятий (защита intranet);
- с сетями предприятий-партнеров (защита extranet).
|
|
|
Поддержка IPSec является сегодня обязательным условием для перспективных VPN-продуктов.
Для защиты VPN применяются межсетевые экраны, которые реализуют относительно простую схему доступа:
- доступ контролируется в одной точке, располагающейся на пути соединения внутренней сети с сетью Интернет или другой публичной сетью, являющейся источником потенциальных угроз;
- все субъекты доступа делятся на группы по IP-адресам (внутренние и внешние пользователи);
- внешним пользователям разрешается для доступа к внутренним ресурсам сети использовать один-два популярных сервиса сети Интернет, например электронную почту, а трафик остальных сервисов отсекается.
При применении нескольких межсетевых экранов в пределах одной внутренней сети требует организации их скоординированной работы на основе единой политики доступа. Такая координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут.
Припредоставлении информации в сети для гарантированной идентификации пользователейиспользуется специальный механизм, состоящий из трех процедур:
- идентификация – процедура распознавания пользователя по его идентификатору (имени), который пользователь сообщает сети по ее запросу, сеть проверяет его наличие в своей базе данных;
- аутентификация – процедура проверки подлинности заявленного пользователя, которая позволяет достоверно убедиться, что пользователь именно тот, кем себя объявляет (в частности, пароль);
- авторизация – процедура предоставления пользователю определенных полномочий и ресурсов сети, т.е. устанавливает сферу действия пользователя и доступные ему ресурсы.
Эффективным средством повышения надежности защиты данных на основе гарантированной идентификации пользователя являются электронные токены (смарт-карты, устройства touch-memory, ключи для USB-портов и т.п.), которые являются своего рода контейнерами для хранения персональных данных пользователя системы. Основное преимущество электронного токена в том, что персональная информация всегда находится на носителе (смарт-карте, ключе и т.д.) и предъявляется только во время доступа к системе или компьютеру.
|
|
|
Антивирусная защита является одним из важных элементов комплексной системы информационной безопасности. При применении антивирусных средств необходимо учитывать, что защищенный трафик не может быть проконтролирован этими средствами. Поэтому антивирусные средства должны устанавливаться в узлах, на которых информация хранится, обрабатывается и передается в открытом виде.
Постоянные изменения ИС (реконфигурация программных средств, подключение новых рабочих станций и т.п.) могут привести к появлению новых угроз и уязвимых мест в системе защиты. В связи с этим особенно важно своевременное их выявление и внесение изменений в соответствующие настройки системы информационной безопасности, для чего используются с редства обнаружения вторжений, которыедополняют защитные функции межсетевых экранов. Межсетевые экраны пытаются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, в то время, как средства обнаружения вторжений анализируют результирующий трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или потенциально опасные действия и могут использоваться в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне.
Особую роль в программно-технических методах защиты информации играют криптографические преобразования данных и электронная цифровая подпись.
К риптографический алгоритм, или шифр, – это математическая формула, описывающая процессы зашифрования и расшифрования. Чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом – словом, числом или фразой. Одно и то же сообщение одним алгоритмом, но с разными ключами будет преобразовываться в разный шифротекст. Защищенность шифротекста целиком зависит от двух параметров: стойкости криптоалгоритма и секретности ключа.
В традиционной криптографии один и тот же ключ используется как для зашифрования, так и для расшифрования данных (рис. 7.3). Такой ключ называется симметричным ключом (закрытым). Data Encryption Standart (DES) – пример симметричного алгоритма, широко применявшегося на Западе с 70-х годов в банковской и коммерческой сферах. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 бита (56 битов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок). В настоящее время стандарт DES сменяет Advanced Encryption Standard (AES), где длина ключа до 256 битов.
|
|
|
Симметричное шифрование обеспечивает скорость выполнения криптографических операций. Однако, симметричное шифрование имеет два существенных недостатка: 1) большое количество необходимых ключей (каждому пользователю отдельный ключ); 2) сложности передачи закрытого ключа.
Для установления шифрованной связи с помощью симметричного алгоритма, отправителю и получателю нужно предварительно согласовать ключ и держать его в тайне. Если они находятся в географически удаленных местах, то должны прибегнуть к помощи доверенного посредника, например, надежного курьера, чтобы избежать компрометации ключа в ходе транспортировки. Злоумышленник, перехвативший ключ в пути, сможет позднее читать, изменять и подделывать любую информацию, зашифрованную или заверенную этим ключом.
Рисунок– Этапы шифрования с симметричным ключом
Проблема управления ключами была решена криптографией с открытым, или асимметричным, ключом, концепция которой была предложена в 1975 году. В этой схеме применяются пара ключей: открытый, который зашифровывает данные, и соответствующий ему закрытый, который их расшифровывает. Тот, кто зашифровывает данные, распространяет свой открытый ключ по всему свету, в то время, как закрытый держит в тайне. Любой человек с копией открытого ключа может зашифровать данные, но прочитать данные сможет только тот, у кого есть закрытый ключ
Рисунок– Этапы шифрования с асимметричным ключом
Хотя открытый и закрытый ключ математически связаны, вычисление закрытого ключа из открытого в практически невыполнимо.
Главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договоренности о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищенному каналу полностью отпала. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности. Примерами криптосистем с открытым ключом являются Elgamal, RSA, Diffie-Hellman, DSA и др.
Дополнительное преимущество от использования криптосистем с открытым ключом состоит в том, что они предоставляют возможность создания электронных цифровых подписей (ЭЦП). Электронная цифровая подпись – это реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки. Цифровая подпись позволяет получателю сообщения убедиться в аутентичности источника информации (иными словами, в том, кто является автором информации), а также проверить, была ли информация изменена (искажена), пока находилась в пути. Таким образом, цифровая подпись является средством аутентификации и контроля целостности данных. ЭЦП служит той же цели, что печать или собственноручный автограф на бумажном листе.
Тема 7. Перспективы развития информационных технологий в экономике и управлении
Современное состояние информационных технологий можно охарактеризовать следующим образом:
Наличие множества промышленно функционирующих баз данных большого объема, содержащих информацию практически обо всех областях жизни общества.
Создание технологий, обеспечивающих интерактивный доступ массового пользователя к информационным ресурсам. Технической основой указанной тенденции явились государственные и частные системы связи и передачи данных общего назначения, а также специализированные, объединенные в национальные, региональные и глобальные, информационно-вычислительные сети.
Расширение функциональных возможностей информационных систем и технологий, обеспечивающих одновременную обработку баз данных с разнообразной структурой, мультиобъектных документов, гиперсред, в том числе реализующих технологии создания и ведения гипертекстовых баз данных. Создание локальных, многофункциональных проблемно-ориентированных информационных систем различного назначения на основе мощных персональных компьютеров и локальных вычислительных сетей.
Включение в информационные системы элементов интеллектуализации интерфейса пользователя, экспертных систем, систем машинного перевода, автоиндексирования и других технологических средств.
Современно устроенная организация использует наличие развитых информационных технологий для:
осуществления распределенных персональных вычислений, когда на каждом рабочем месте достаточно ресурсов для обработки информации в местах ее возникновения;
создания развитых систем коммуникаций, когда рабочие места соединены для пересылки сообщений;
присоединения к гибким глобальным коммуникациям, когда предприятие включается в мировой информационный поток;
создания и развития систем электронной торговли;
устранения промежуточных звеньев в системе интеграции организация — внешняя среда.
Что такое документационное обеспечение управленческой деятельности?
Терминологический стандарт определяет делопроизводство как отрасль деятельности, обеспечивающую документирование и организацию работы с официальными документами. Термин делопроизводство, по ГОСТ Р 51141-98, синонимичен термину документационное обеспечение управления, который вошел в научный оборот более 10 лет назад.
Документоведение — научная дисциплина, изучающая закономерности формирования и функционирования систем докумен-тационного обеспечения управления (ДОУ).
Традиционно сфера деятельности, связанная с обработкой документов, называется делопроизводством. Термин делопроизводство возник в России во 2-й половине XVIII в. Он образован от сочетания слов производство дела. Его значение становится понятным, если иметь в виду, что термин дело обозначал первоначально вопрос (судебный или административный), решаемый органом управления. Следовательно, под делопроизводством понималось, прежде всего, рассмотрение (производство) дел или, иначе говоря, — деятельность, связанная с принятием решений по какому-либо вопросу. Значение термина дело как собрания документов — более позднего происхождения.
Документационное обеспечение управления предполагает, прежде всего, создание имеющих юридическую силу документов, или документирование, т. е. запись информации на бумаге или ином носителе по правилам, установленным правовыми нормативными актами или выработанным традицией.
Документирование может осуществляться на естественном языке и на искусственных языках с использованием новых носителей информации. При документировании на естественном языке создаются текстовые документы — документы, содержащие речевую информацию, зафиксированную любым типом письма или любой системой звукозаписи. Текстовый письменный документ — это традиционный документ на бумажном носителе или видеограмма, т. е. его изображение на экране монитора.
При создании документов используются средства документирования. Ими могут быть:
простые орудия (ручки, карандаши и др.);
механические и электромеханические средства (пишущие машины, магнитофоны, диктофоны, фото-, кино- и видеотехника и др.);
компьютерная техника.
Результатом документирования является документ — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Носитель — это материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.
В течение многих веков наиболее распространенным носителем документной информации является бумага. Наряду с ней сейчас широко используются и новые носители — магнитные, позволяющие использовать для документирования вычислительную технику.
Как уже говорилось, документирование предполагает соблюдение установленных правил записи информации. Соблюдение этих правил придает юридическую силу создаваемым документам. Юридическая сила документа обеспечивается установленным для каждой разновидности документов комплексом реквизитов — обязательных элементов оформления документа.
Наличие формуляра, установленного государственным стандартом, обеспечивает единство документирования и единство документации как в рамках одного учреждения, так и в целом в стране.
Документы являются основными носителями управленческой, научной, технической, статистической и иной информации. Документы являются носителями первичной информации, именно в документах информация фиксируется впервые. Это свойство и позволяет отличать документы от других источников информации — книг, газет, журналов и др., содержащих переработанную, вторичную информацию.
Любой документ является элементом системы документации более высокого уровня. Под системой документации понимается совокупность документов, взаимосвязанных по признакам происхождения, назначения, вида, сферы деятельности, единых требований к их оформлению. Как буквы составляют алфавит, так и отдельные виды и разновидности документов составляют систему документации. До настоящего времени в документоведении не существует стройной классификации систем документации, видов и разновидностей документов, а используется ее эмпирически сложившийся вариант.
Отнесение документов к той или иной системе начинается с разделения всех документов на официальные и документы личного происхождения. К последним относятся документы, созданные человеком вне сферы его служебной деятельности или выполнения общественных обязанностей: личная переписка, воспоминания (мемуары), дневники.
Официальные документы в зависимости от обслуживаемой ими сферы человеческой деятельности подразделяются на управленческие, научные, технические (конструкторские), технологические, производственные и др. Управленческие документы составляют ядро учрежденческой документации, именно они обеспечивают управляемость объектов как в рамках государства, так и отдельной организации. Управленческие документы представлены следующими основными видами (системами) документации:
организационно-правовая документация;
плановая документация;
распорядительная документация;
информационно-справочная и справочно-аналитическая документация;
отчетная документация;
договорная документация;
документация по обеспечению кадрами (по личному составу);
документация по обеспечению финансами (бухгалтерский учет и отчетность);
документация по материально-техническому обеспечению;
документация по документационному и информационному обеспечению деятельности учреждения и др.;
документация по основной деятельности учреждения, организации или предприятия, например, на производственном предприятии — это производственная документация (технологическая и конструкторская документация и др.), в лечебном учреждении — медицинская документация (медицинские карты, страховые документы и др.), в вузе — документация по высшему образованию (учебные планы, экзаменационные ведомости и др.).
Документы, составляющие одну систему документации, связаны единством целевого назначения и в комплексе обеспечивают документирование той или иной управленческой функции или вида деятельности.
Организация работы с документами — это организация документооборота учреждения, хранение документов и их использование в текущей деятельности.
Документооборот — это совокупность взаимосвязанных процедур, обеспечивающих движение документов в учреждении с момента их создания или поступления и до завершения исполнения или отправки. В целях рациональной организации документооборота все документы распределяются на документопотоки, например: регистрируемые и нерегистрируемые документы, входящие, исходящие и внутренние документы, документы, поступающие или направляемые в вышестоящие организации, документы, направляемые или поступающие из подведомственных организаций и др. Под документопотоком понимается совокупность документов, выполняющих определенное целевое назначение в процессе документооборота.
Характеристикой документооборота является его объем. Под объемом документооборота понимается количество документов, поступивших в организацию и созданных ею в течение определенного периода времени, как правило, года. Объем документооборота является важным критерием при решении вопросов выбора формы делопроизводства, структуры службы делопроизводства, ее штатного состава, организации информационно-поисковой системы по документам и др.
Одна из важнейших функций в организации работы с документами — учет документов. Учет документов обеспечивается их регистрацией — записью учетных данных о документе по установленной форме, фиксирующей факт создания документа, его отправки или получения. Наряду с учетом документов их регистрация позволяет осуществлять контроль за "исполнением документов, а также вести поиск документов по запросам подразделений и работников учреждения.
Система хранения документов — это совокупность способов учета и систематизации документов с целью их поиска и использования в текущей деятельности учреждения. Для системы хранения документов наиболее значимыми понятиями являются понятия номенклатура дел и дело. Номенклатура дел — систематизированный перечень заголовков дел, формируемых в делопроизводстве учреждения, расположенных в определенной последовательности с указанием сроков их хранения, а дело — это совокупность документов (или документ), относящихся к одному вопросу, помещенных в отдельную обложку.
|
|
|
|
|
Дата добавления: 2014-11-20; Просмотров: 1175; Нарушение авторских прав?; Мы поможем в написании вашей работы!