Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4609 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет путей сообщения
Предмет:
Информационная безопасность
Файл:
Лекция 2(Морозова).doc
Скачиваний:
35
Добавлен:
09.06.2015
Размер:
82.94 Кб
Скачать
►Содержание►

Информационная безопасность и геоинформационные технологии

В течение первой половины века широко использовался термин "защита информации". В 60-е годы возникло понятие "компьютерной безопасности", в 70-е - "безопасность данных". В настоящее время более полным понятием, связанным с безопасностью в компьютерных системах и информационных технологиях, является понятие "информационная безопасность".

Системы информационной безопасности становятся доминирующими в системах национальной безопасности, в безопасности предпринимательской, финансовой и производственной деятельности. В настоящее время информация стала объектом гражданско-правовых отношений и вошла в рыночный оборот. На получение и систематизацию различных информационных продуктов и услуг, на формирование информационных ресурсов затрачиваются значительные финансовые средства. В связи с этим выдвигаются требования к постепенному сокращению безвозмездного доступа к информационным ресурсам и обеспечению их защиты от несанкционированно распространения.

Необходимость защиты информации возрастает по мере увеличения ее ценности, с развитием электронных систем и технологий телекоммуникаций, с возрастанием уровня информатизации общества и повышением технического уровня конечных пользователей компьютерных технологий.

Меры, принимаемые при защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе называют информационной безопасностью. Информационная безопасность (ИБ) включает в себя комплекс мер по защите процессов обработки, хранения и представления информации. ИБ дает гарантию в достижении следующих целей:

  • конфиденциальность информации;

  • целостность информации и связанных с ней процессов;

  • доступность информации по мере ее необходимости;

  • учет всех процессов, связанных с обработкой информации.

Для организации систем ИБ необходимо классифицировать информационные объекты и субъекты доступа к ним. Множество информационных объектов можно условно разделить на две категории: с ограниченным доступов и общедоступные. Причем, некоторые категории общедоступной информации могут со временем переходить в категорию с ограниченным доступом и наоборот. Существуют категории общедоступной информации, доступ к которым не может быть ограничен, например сведения о состоянии окружающей среды.

При организации систем ИБ необходимо принять во внимание основные группы методов, используемых для совершения НСД. К этим группам относятся:

Имитация - подмена информации в процессе ее ввода или вывода.

Сканирование - методы анализа всей доступной информации.

"Троянский конь" - группа методов, основанных на подмене известной программы или информационного продукта аналогом, содержащим дополнительные функции.

"Люк" - методы (упрощенный вариант предшествующей группы), основанные на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе и войти в системы.

Технология "салями" - методы, основанные на НСД, совершаемых небольшими частями (незаметными). Обычно эта технология сопровождается изменением программы, например, платежи округляются до нескольких центов, а разница между реальной и округленной суммой поступает на специально открытый счет злоумышленника.

Суперотключение - специфическая группа методов, основанных на входе в систему в сбойных ситуациях. Названа по имени программы, применявшейся в ряде компьютерных центров, которая обходила системные меры защиты и использовалась при аварийных ситуациях.

В процессе создания новых технологий в результате интеллектуального труда возникают информационные объекты, представляющие информационную ценность. Это могут быть алгоритмы, методики работ, перспективные технические решения, результаты маркетинговых исследований и т.д. Существуют два вида защиты информации:

  1. пассивная защита - характерна режимом открытости, доступности для всех лиц кроме тех, которые могут ее использовать в коммерческих целях. Такую защиту информационных продуктов устанавливает патентное и авторское право.

  2. активная защита - связана с установлением режимов секретности и разграничения доступа. Такую защиту обеспечивает система ИБ.

Система ИБ должна постоянно совершенствоваться. Это должно быть заложено в концепции безопасности. Концепция безопасности реализуется политикой безопасности. В настоящее время политика безопасности во многих странах осуществляется на четырех уровнях: законодательном, административном, процедурном, программно-технологическом.

Законодательный уровень политики безопасности, определяемый нормативно-правовой информационной базой страны.

Административный уровень - определяется рядом организационно-управленческих мероприятий, предпринимаемых на каждом предприятии или фирме. Он обеспечивается совокупностью документированных управленческих решений, направленных на защиту информации. Сюда входят следующие разделы:

  • Организационный (описание подразделений, комиссий, групп и т.д., отвечающих за работу в области ИБ);

  • Классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

  • Штатный (описание должностей, организации обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

  • Раздел, освещающий вопросы физической защиты;

  • Раздел, описывающий правила разграничения доступа к производственной информации;

  • Раздел, характеризующий порядок разработки и сопровождения систем;

  • Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

  • Юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Административный уровень - белое пятно в отечественной практике. На сегодня нет законов, обязывающих организацию проводить политику безопасности.

Процедурный уровень - меры безопасности, реализуемы на низшем (операционном) уровне управления (управление персоналом, физическая защита, реагирование на нарушения режима безопасности, планирование восстановительных работ).

Программно-технологический уровень включает меры безопасности, реализуемые за счет программно-технических средств. Этот уровень можно считать уровнем реализации, в то время как остальные уровни - уровни организации.

В рамках этого уровня должны быть доступны, по крайней мере, следующие механизмы обеспечения ИБ:

  • идентификация и проверка подлинности (аутентификация) пользователей;

  • управление доступом;

  • протоколирование и аудит;

  • криптография;

  • (межсетевое) экранирование.

В соответствии с действующим законодательством в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию - ФАПСИ1, межсетевое экранирование является спорной территорией.

Соседние файлы в предмете Информационная безопасность
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности