Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Средства защиты

Методы защиты

Препятствия Управление доступом Маскировка Регламентация Принуждение Побуждение

Физические Аппаратные, программные Программные (криптограф) Организационные Законодательные Морально-этические
Технические Неформальные
Формальные

 

Рис. 2. Методы и средства обеспечения безопасности информации.

 

Препятствия - методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).Реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают наружные системы охраны («Ворон», GUARDW1R, FPS и др.), ультразвуковые, лазерные системы (Cyclops и т. д.), системы прерывания луча (Pulsar30u и т. п.), телевизионные системы (УМ2\6 и др.), ра­диолокационные системы («ВИТИМ» и т. д.), система контроля вскрытия аппаратуры и др.

Управление доступом - включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверку полномочий (проверка соответствия дня недели, вре­мени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установлен­ного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• регистрацию (сигнализация, отключение, задержка работ, от­каз в запросе) при попытках несанкционированных действий. Обеспечивается аппаратными и программными средствами.

Под ап­паратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному ин­терфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой инфор­мации на различные карточки).

Программные средства представляют собой программное обеспе­чение, специально предназначенное для выполнения функций защи­ты информации. В такую группу средств входят:

· механизмы обеспечения целостности данных, механизмы постановки графика,

· механизмы управления маршрутизацией,

· меха­низмы арбитража,

· антивирусные программы, программы архивации (например, zip, rar, arj и др.),

· защита при вводе и выводе информации и т. д.

Маскировка метод защиты информации путем ее криптографи­ческого закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дис­кетах. При передаче информации по каналам связи большой протя­женности данный метод является единственно надежным. Обеспечивается программными средствами путем

· механизма шифрова­ния (криптографии - специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно на­зываемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрова­ния информации),

· механизма электронной цифровой подписи,

· механизма контро­ля доступа,

10.01.02 принят закон РФ «Об электронной цифровой подписи» (ЭЦП), согласно которого ЭЦП- реквизит электронного документа, предназначенный для его защиты от подделки. ЭЦП признается равнозначной собственноручной подписи на бумажном носителе и выполняет следующие функции:

· удостоверяет, что подписанный текст документа исходит от лица, поставившего подпись;

· не дает права отказа от обязательств, связанных с подписанным документом или текстом;

· гарантирует целостность и неизменность подписанного документа;

ЭЦП представляет собой несколько буквенно- цифровых символов, передаваемых с электронным документом. Технология получения и проверки ЭЦП включает в себя следующие процедуры:

1) процедуру вычисления дайджеста (хеш- функции) сообщения;

2) процедуру шифровки дайджеста закрытым ключом отправителя;

3) процедуру вычисления дайджеста сообщения (хеш- функции) получателем;

4) проверку полученного дайджеста, путем расшифрования его открытым ключом;

5) Верификация- сравнение вычисленного получателем дайджеста с полученным в результате расшифрования.

Регламентация метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи за­щищаемой информации, при которых возможности несанкциони­рованного доступа к ней сводились бы к минимуму. Достигается путем разработки организационных мероприятий. Организационные средства защиты представляют собой организа­ционно-технические и организационно-правовые мероприятия, осу­ществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все струк­турные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной инфор­мационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).

Принуждение - метод защиты, при котором пользователи и пер­сонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материаль­ной, административной или уголовной ответственности. Законодательные средства защиты определяются законодатель­ными актами страны, которыми регламентируются правила пользо­вания, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К настоящему времени насчитывается свыше 1000 нормативных актов различного уровня, регулирующих правоотношения в области создания, распространения, обработки, хранения и использования информации и правоотношения в области создания и эксплуатации информационных систем.

Закон РФ «Об информации, информатизации и защите информации подразделяет информацию по уровню доступа на следующие категории:

· Общедоступная;

· Открытая информация;

· Информация о гражданах (персональные данные);

· Конфиденциальная информация- сведения, определяемые общим понятием тайна. В действующих сегодня законах встречается более 30 видов тайн. Их перечень упорядочен законом РФ «О государственной тайне» и подзаконным актом – Указом президента РФ № 188 от 06.03.97г.

О последствиях разглашения государственной тайны прописано в Гражданском Кодексе РФ, Уголовном Кодексе РФ, Трудовом Кодексе РФ.

Побуждение метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Морально-этические средства защиты реализуются в виде все­возможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязатель­ными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показатель­ным примером таких норм является Кодекс профессионального по­ведения членов Ассоциации пользователей ЭВМ США.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотрен­ной процедуре без непосредственного участия человека) и неформаль­ные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

 

3. Принципы проектирования системы защиты

Защита информации в АИТУ должна основываться на следую­щих основных принципах:

1) системности;

2) комплексности;

3) не­прерывности защиты;

4) разумной достаточности;

5) гибкости уп­равления и применения;

6) открытости алгоритмов и механизмов защиты;

7) простоты применения защитных мер и средств.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

§ устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИС, оценивается уровень ее конфиденциальности и объем;

§ определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т. д.;

§ анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

§ определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта авто­матизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

§ определяются мероприятия по обеспечению режима секретно­сти на стадии разработки.

 

Для построения эффективной системы защиты необходимо провести следующие работы:

1) определить угрозы безопасности информации;

2) выявить возможные каналы утечки информации и несанкцио­нированного доступа (НСД) к защищаемым данным;

3) построить модель потенциального нарушителя;

4) выбрать соответствующие меры, методы, механизмы и сред­ства защиты;

 

5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

Этапы проектирования системы защиты:

Первый этап- анализ объекта защиты с целью определить, что защищать;

Второй этап - выявление угроз;

Третий этап - анализ эффективности действующей системы защиты;

Четвертый этап - разработка дополнительных мер защиты;

Пятый этап - согласование с руководителями разработанных мероприятий;

Шестой этап - реализация мероприятий, контроль за их исполнением.

 

<== предыдущая лекция | следующая лекция ==>
Виды угроз безопасности | Понятие сервитута
Поделиться с друзьями:


Дата добавления: 2014-01-06; Просмотров: 469; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.008 сек.