Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Владимирский филиал РАНХиГС (РАГС ВФ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
информационная безопасность1.docx
Скачиваний:
9
Добавлен:
17.08.2019
Размер:
320.55 Кб
Скачать
►Содержание►

II. Типичные проблемы обеспечения информационной безопасности

Существующий мировой опыт аналитических исследований информационных систем показывает, что существует некая взаимосвязанная цепочка проблем, которые необходимо решать на предприятии.

  • Во-первых, важно убедить руководство в необходимости защиты информации, представляющей интеллектуальную собственность предприятия. Какие пути убеждения на сегодня могут быть использованы? Таких путей несколько. Представление руководству результатов анализа ущерба в случае овладения конфиденциальной информацией конкурентами или простоя производства в результате блокирования доступа к информационным ресурсам – наиболее цивилизованный и действенный путь доказательства. Если убеждения не помогают, то сподвигнуть руководство к созданию системы защиты информации может принудительная мера (пассивная или активная) в виде несанкционированного доступа к ресурсам руководителя верхнего уровня. Ну, и, наконец, получение значительного ущерба в результате пренебрежения проблемами информационной безопасности само собой должны подтолкнуть руководство на финансирование этого направления деятельности предприятия.

  • Во-вторых, после того, как руководство готово к решению информационных проблем, необходимо навести обычный порядок на предприятии, который независимо от или совместно с будущей системой информационной безопасности позволит в значительной мере снизить потери предприятия. Говорят, прежде, чем автоматизировать какой-либо процесс, необходимо правильно его организовать. Опыт показывает, что именно выявление недостатков в организации наиболее болезненно воспринимаются руководителями. В связи с этим в этом вопросе необходимо максимальное проявление такта и дипломатии.

  • В-третьих, круг лиц, ответственных за решение проблем информационной безопасности, должен быть соответствующим образом профессионально подготовлен в силу своих функциональных обязанностей. Высокий уровень подготовки позволит не только грамотно решать проблемы, но и “удешевлять” работы по созданию системы информационной безопасности за счет выполнения части операций собственными силами, профессиональной ориентации в мире средств защиты информации от возможных угроз и владения методическим аппаратом построения и управления подобными системами.

Наряду с организационными, существуют и технические проблемы, связанные с все большим внедрением сетевых технологий. Несмотря на то, что сегодня в России встречаются АСОИ различных архитектур, подавляющее большинство вновь вводимых в эксплуатацию автоматизированных объектов является сетями ЭВМ. Несомненные преимущества обработки информации в сетях ЭВМ оборачиваются немалыми сложностями при организации их защиты. Как ни парадоксально, чем совершеннее становятся информационные технологии, тем больше проблем они доставляют пользователям этих технологий с точки зрения безопасности информации. В связи с этим и на состояние рынка средств защиты оказывают влияние особенности развития информационных технологий. К числу основных из них относятся следующие:

  • Сегодня объектом защиты, как правило, является совокупность территориально разнесенных связанных между собой сетей; вследствие этого:

    • расширяется зона контроля, администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости, возможно, в другой стране, а также поддерживать рабочий контакт со своими коллегами в других организациях;

    • в состав системы включается комбинация различных программно-аппаратных средств соединение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других системах. В случае соединения разнородных систем риск повышается;

    • периметр становится неизвестным - легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить, сколько пользователей имеют доступ к определенному узлу и кто они;

    • увеличивается количество точек атаки - в сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником угрозы. Естественно, это не может способствовать повышению защищенности сети. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи, что во много раз увеличивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.;

    • повышается сложность управления и контроля доступа к системе - многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной, если не невозможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер.

  • Применение нескольких операционных систем на предприятии существенно затрудняет обеспечение безопасности автоматизированной системы, так как увеличивается общее количество уязвимых мест (у каждой ОС они свои), а также усложняется сопровождение всей системы; вследствие этого:

    • разработка средств защиты под новые ОС должна учитывать особенности, присущие этим ОС, и добавлять только те возможности, которые нужны администраторам и конечным пользователям, но не реализованные производителем ОС в силу различных причин;

    • в связи с использованием нескольких ОС в одной и той же организации остро встает вопрос о преемственности модельного ряда средств и систем защиты одного производителя для того, чтобы обеспечить единый подход к защите данных.

  • Автоматизированные системы обработки информации рассчитаны на довольно долгую жизнь, поэтому особое внимание необходимо обращать на длительное сопровождение программных и аппаратных средств защиты информации.

  • Усложнение способов информационного взаимодействия между пользователями диктует необходимость использования средств криптозащиты.

  • Особое внимание следует уделять вопросам удобства управления существующими и дополнительными механизмами защиты с целью облегчения работы администратора безопасности предприятия.

  • Создание систем защиты с учетом указанных выше положений требует значительно больших материальных затрат и объединения усилий большего количества программистов и руководства их деятельностью.

Перечисленные особенности развития информационных технологий и порождаемые при этом проблемы должны явиться мотивацией для лиц, должностной обязанностью которых является защита информации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности