Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Конспект 2012_1.doc
Скачиваний:
4
Добавлен:
10.09.2019
Размер:
270.85 Кб
Скачать

Защита информации

Защита информации в корпоративной информационной системе представляет собой актуальную и очень большую проблему. Существует 8 специальностей по подготовке специалистов, призванных создавать средства обеспечения безопасности. Наша задача – понимание проблем и режимов обеспечения информационной безопасности.

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб владельцам и пользователям информации и поддерживающей инфраструктуре.

Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.

Понятие ИБ распространяется на традиционные способы организационно-технического управления и обостряется при комплексном переходе к безбумажным технологиям, потому что доступ к информации становится трудноконтролируемым, большие объемы информации становятся легкоуязвимыми и, в том числе, с учетом удаленного доступа.

Характерно, что в организационно-технических системах, особенно специалистам по управлению, для целей необходимо обеспечить исходно противоречивый режим работы, т.е. с одной стороны, предоставлять как можно более детальную и оперативную информацию, а с другой стороны – гарантировать отсутствие вреда от доступа к такой информации. Это противоречие балансируется, например, внешним по отношению к данному подразделению требованием к предоставлению прозрачной информации о своей деятельности таким образом, что конечный уровень ИБ предприятия будет определяться уже не техническими (компьютерными) мерами, а организационными мерами, обеспечивающими конфиденциальность информации на уровне субъектов- носителей этой информации.

Основные компоненты рассмотренной ИБ заключаются в доступности, конфиденциальности и целостности информации.

Доступность и конфиденциальность регулируются мерами, в техническом смысле, разграничения доступа и администрирования данных, которые поддерживаются в рамках распространенных ИС. Меры администрирования: идентификация и аутентификация.

Идентификация – код доступа и соответствующее подтверждение. Т.е. система технически обеспечивается средствами, подтверждающими лицо, требующее доступ к информационным ресурсам.

Аутентификация – это разграничение по группам, в рамках которых устанавливаются свои режимы и уровни доступа к информации. Это схема разделения на администратора системы и категории «пользователь».

Третья проблема – обеспечение целостности информации – включает в себя как проблему устойчивого функционирования программно-технических средств и проблему защиты от сбоев в процессе осуществления транзакции. Вторая часть этой проблемы – это защита от потерь и искажений в стандартном деловом процессе (всегда существует возможность, что в распределенной информационной структуре предприятия некоторая несогласованность может возникнуть из-за, например, искажения последовательности работ). В этом смысле эта часть обеспечения целостности решается за счет организации специальной процедуры внесения изменений в конструкцию (выпуск извещений) и специальными технологиями подписи и утверждения технических документов.

Отдельно необходимо рассматривать ИБ корпоративной среды с точки зрения использования вредоносного программного обеспечения – вирусы, которых отличают разрушительный характер воздействия, и класс программ «шпионских» (Spylog – «логика шпионов»), способные целенаправленно либо извлекать информацию, либо искажать эту информацию. В частности, для защиты от подобных программ создаются специальные программные мониторы, отслеживающие поведение несанкционированных программ – программы – брандмауэры.

Проблема защиты информации является многоплановой и многоуровневой. Многоплановость – разные варианты поведения. Многоуровневость заключается в том, что на верхнем уровне – это законодательный уровень; на нижнем – это сугубо технический и технологический уровень, связанный, в том числе, с методами кодирования, шифрования и тому подобными технологиями; средний уровень – административно-технический, когда административно рассматриваются вопросы доступности и конфиденциальности, а обеспечивается такое решение техническими мерами.

В целом, набор планов и уровней безопасности называют политикой безопасности данного предприятия. В ИС предусматриваются профили функционирования системы в соответствии с принятой политикой безопасности.