- •Глава 1. Организационные и правовые основы развития информационных технологий 6
- •Глава 2. Информационная безопасность: способы зашиты информации 25
- •Введение
- •Глава 1. Организационные и правовые основы развития информационных технологий
- •1.1 Информационные технологии: теоретический анализ
- •1.2 Нормативно-правовая база регулирования информационными технологиями
- •1.3 Государственные программы информатизации общества
- •Глава 2. Информационная безопасность: способы зашиты информации
- •2.1. Методы обеспечения защиты информации
- •2.2. Сущность криптографической защиты данных
- •2.3. Средства защиты информации: физические, программные и аппаратные
- •Заключение
- •Список литературы
Глава 2. Информационная безопасность: способы зашиты информации
Современные корпорации сталкиваются с бурным ростом объемов данных, необходимых для их повседневной работы. Этот рост вызван потребностью постоянно иметь «на кончиках пальцев» финансовую, маркетинговую, техническую, статистическую и другую информацию для оперативного реагирования на изменения рыночной ситуации, поведение конкурентов и клиентов. Для этого применяются различного рода хранилища, сети хранения данных, массивы накопителей на жестких дисках и лентах.
Однако высокая степень централизации корпоративной информации делает ее более уязвимой и упрощает задачу злоумышленнику, который поставил себе цель получить доступ к этой информации. Ситуация усугубляется тем, что современные технологии хранения данных, начиная от обычного файл-сервера и заканчивая такими архитектурами, как SAN или NAS, практически не предусматривают встроенных средств разграничения доступа и защиты информации.
Рассмотрим основные уязвимости хранения данных. Поскольку информация в корпоративных сетях обычно хранится на жестких дисках и магнитных лентах, именно они представляют собой основное уязвимое место. Простейший вариант утечки конфиденциальной информации в этом случае – попадание носителя с информацией в чужие руки. Это может произойти как в результате намеренной, спланированной акции по изъятию или хищению носителей или компонентов информационной системы, так и в результате случайного попадания носителя в чужие руки – например, при отправке жесткого диска в ремонт.
Что касается магнитных лент, то с ними ситуация еще хуже. Во-первых, они довольно компактны, их можно легко вынести за пределы контролируемой территории, а пропажа будет заметна не сразу. Во-вторых, они, как правило, содержат полную копию всей информации с нескольких, а то и со всех серверов информационной системы. Наконец, существуют специальные регламенты, касающиеся восстановления бизнеса после бедствий (disaster recovery), в соответствии с которыми резервные копии информации должны храниться в специальном депозитарии или, по крайней мере, за пределами офиса, что также расширяет круг лиц, которые могут получить доступ к этим копиям, и соответственно повышает вероятность утечки.
2.1. Методы обеспечения защиты информации
Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. П.).
Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:
- идентификацию пользователей, персонала и ресурсов информационной системы – присвоение каждому объекту персонального идентификатора (Приложение1);
- аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
- разрешение и создание условий работы в пределах установленного регламента;
- регистрацию (протоколирование) обращений к защищаемым ресурсам;
- реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка – метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия. Подробнее криптографическую защиту данных рассмотрим в пункте 2.2.
Принуждение – такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение – такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.