Реферат Обеспечение защиты секретной информации
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «СЕВЕРО-КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
УНИВЕРСИТЕТ»
КАФЕДРА ЛИНГИСТИКИ И МЕЖКУЛЬТУРНОЙ КОММУНИКАЦИИ
РЕФЕРАТ
По дисциплине: «Организация информационной безопасности»
на тему: «Обеспечение защиты секретной информации»
Выполнил: студент
гр. СТ – 071
Ерёмина Н.Ю.
Научный руководитель:
Доцент кафедры
Кудряшов О.А.
Ставрополь, 2011
Содержание
Введение | 3 |
1 Меры информационной безопасности | 4 |
2 Уровни защиты информации | 10 |
3 Методы и средства защиты секретной информации | 12 |
Заключение | 18 |
Список литературы | 19 |
Введение
Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
Проблема защиты секретной информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности.
Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.
Объектом реферата является секретная информация, предметом – способы защиты секретной информации. Целью данного реферата является исследование способов защиты секретной информации. Для достижения поставленной цели необходимо решение следующих задач: рассмотреть меры информационной безопасности, изучить уровни защиты информации, ознакомиться с методами и средствами защиты секретной информации.
1 Меры информационной безопасности
По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:
· правовые (законодательные);
· морально-этические;
· технологические;
· организационные (административные и процедурные);
· физические;
· технические (аппаратурные и программные).
1 Правовые
К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
2 Морально-этические
К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.
3 Технологические
К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.
4 Организационные
Организационные меры зашиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Обеспечение информационной безопасности организации предполагает реализацию комплекса организационных мер в составе программы экономической безопасности. Организационная составляющая информационной безопасности имеет следующие особенности:
-реализуется в рамках функций, возложенных, как правило, на службу безопасности или контролируемых этой службой;
-отличается низкой ресурсоемкостью, т.к. затраты на организационные мероприятия несопоставимы с затратами на приобретение и обслуживание технических средств;
-высокой мобильностью, т.е. возможностью быстрой реализации.
Все это выводит организационные меры обеспечения информационной безопасности на первый план как высокорентабельные. В числе таких мер следует назвать:
- дробление, распределение информации между сотрудниками;
- ведение учета ознакомления сотрудников с особо важной информацией;
- распространение информации только через контролируемые каналы;
- назначение лиц, ответственных за контроль документации;
- обязательное уничтожение неиспользованных копий документов и записей;
- четкое определение коммерческой тайны для персонала;
- составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;
- включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;
- включение положений о неразглашении тайны в соглашения и договора с партнерами;
- дополнительную проверку компетентности работников при найме;
- обязательное предварительное профессиональное обучение;
Особо стоит выделить меры, повышающие безопасность работы с информационными технологиями. Здесь необходим комплексный системный подход, который включает следующие блоки мероприятий:
- Ранжирование
Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, продвинутый пользователь, специалист. Начинающий пользователь: умение совершать элементарные действия, разбираться во всех базовых операциях. Пользователь: уверенное владение программным обеспечением общего назначения (Word, Excel и т.д.). Продвинутый пользователь: способность реализовать все возможности информационных технологий на своем участке работы. Специалист: способность определить, какое программное обеспечение оптимально решит его задачи, самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в программу инструментов.
Оценка квалификации пользователя может проводиться по четырем уровням квалификации:
- нулевой уровень – отсутствие навыков данной группы;
- базовый уровень – умение выполнять элементарные пользовательские операции по инструкции;
- продвинутый уровень – умение самостоятельно находить решения практически всех пользовательских и некоторых специальных задач;
- специальный уровень – уровень знаний специалиста, профессионально занимающегося технической поддержкой информационных технологий в организации.
- Сертификация
В США наличие сертификата пользователя – обязательное условие. Например, корпорация Microsoft проводит сертификацию по 300 различным программам. Из них около 200 сертификатов специалистов по информационным технологиям.
- Превентивное обучение
Повышение квалификации пользователя связано с психологическими особенностями профессиональной жизни. Пользователь демонстрирует один из двух стилей трудового поведения: адаптационный (начинающий пользователь) и саморазвивающийся (профессионал). Чем старше пользователь, тем больше у него стремление перейти к адаптационному типу работы с ПК. Систематическое повышение квалификации может сгладить этот процесс, но качественных изменений добиться чрезвычайно сложно. При этом управление квалификацией пользователей можно построить по следующему алгоритму:
- составление квалификационных требований (сертификат пользователя, определенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной инструкции;
- подбор персонала. Анализ резюме на предмет соответствия требованиям. Приглашение соискателей для профотбора: интервью, анкетирование, испытания;
- испытательный срок. Установление критериев прохождения испытательного срока. Например, время освоения программного продукта или степень самостоятельности решения профессиональных задач;
- аттестация пользователей. Предметом оценки является эффективность использования информационных технологий для решения профессиональных задач. Можно реализовать в форме интервью, наблюдения, анализа протоколов, анкеты, тестовых заданий;
- повышение квалификации. Обеспечение доступа к документации, к программам, к специальной литературе, организация обмена опытом между пользователями, специальные курсы;
4 Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).
5 Технические
Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.
Таким образом, в арсенале специалистов по информационной безопасности имеется широкий спектр защитных мер: законодательных, морально-этических, административных (организационных), физических и технических (аппаратурных и программных) средств. Все они обладают своими достоинствами и недостатками, которые необходимо знать и правильно учитывать при создании систем защиты.
Все известные каналы проникновения и утечки информации должны быть перекрыты с учетом анализа риска, вероятностей реализации угроз безопасности в конкретной прикладной системе и обоснованного рационального уровня затрат на защиту.
Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании определенных совокупностей различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.
2 Уровни защиты информации
Ранее контроль доступа к конфиденциальной информации и защита её от влияний извне был задачей технических администраторов.
Сегодня же защита информации становится обязанностью каждого пользователя системы, что требует не только навыков обращения с системой безопасности, но и знаний о способах неправомерного доступа для предотвращения такового. Надежный контроль над информацией обеспечивает безопасность бизнеса, а так же позволяет качественно и своевременно устранять ошибки, возникающие в течение производственных процессов, облегчая работу персонала.
Основные уровни защиты информации на предприятии
Можно выделить три основных уровня защиты информации: защита информации на уровне рабочего места пользователя; защита информации на уровне подразделения предприятия; защита информации на уровне предприятия.
Информация первоначально создается на конкретном рабочем месте рядового пользователя системы предприятия. Очень часто именно там информация хранится и первично обрабатывается.
Рабочие места чаще всего объединяются в локальную сеть для совместной работы и обмена информацией. В данном случае мы говорим о локальной сети подразделения, пользователи которой находятся друг от друга на достаточно небольших расстояниях.
Уровни защиты информации локальной сети подразделения отличаются более сложными механизмами, чем на рабочем месте пользователя. Защита данных на различных уровнях имеет как общие, так и специальные способы защиты.
Локальные сети подразделений часто объединены в общую сеть предприятия, которая кроме рабочих мест рядовых пользователей имеет в своем составе также серверное оборудование и специализированные устройства, которые отвечают за функционирование и защиту всей сети предприятия. Кроме того локальные сети предприятия могут быть географически удалены друг от друга.
Организация системы безопасности по уровням
В системе безопасности существуют следующие уровни защиты информации:
· физическая защита информации;
· контроль доступа и персональная идентификация;
· применение ключей для шифрования данных;
· защита излучения кабеля;
· защита «обратный вызов».
Для правильного построения защитных механизмов системы безопасности следует изучить не только функционирование информационных потоков внутри предприятия, но и возможности неправомерного доступа к информации извне. В зависимости от типа угрозы, применяются определенные меры по защите информации. Поэтому каждому уровню соответствует тот или иной способ защиты информации.
Уровни защиты, в соответствии с механизмами реагирования на угрозы
· В соответствии с механизмами реагирования на угрозу, определяют следующие уровни защиты информации:
· предотвращение – внедрение служб контроля доступа к информации и технологии;
· обнаружение - раннее обнаружение угрозы, даже в случае обхода механизмов защиты;
· ограничение – уменьшение размера информационных потерь, в случае уже произошедшего преступления;
· восстановление - обеспечение эффективного восстановления информации в случае её утраты или уничтожения. Таким образом, существует несколько уровней защиты информации, характеризующиеся применение различных методов и механизмов реагирования.
3 Методы и средства защиты секретной информации
Средства защиты секретной информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
§ Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость.
§ Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
§ Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
§ Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
По степени распространения и доступности выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.
Программные средства защиты секретной информации:
§ Встроенные средства защиты информации
§ Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом.
§ Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации.
§ Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
§ Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью —маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).
§ VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.
Аппаратные средства защиты секретной информации
К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:
§ специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
§ устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
§ схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
§ устройства для шифрования информации (криптографические методы).
Технические средства защиты секретной информации
§ системы охранной и пожарной сигнализации;
§ системы цифрового видео наблюдения;
§ системы контроля и управления доступом (СКУД).
Защита информации от её утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:
§ использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;
§ установкой на линиях связи высокочастотных фильтров;
§ построение экранированных помещений («капсул»);
§ использование экранированного оборудования;
§ установка активных систем зашумления;
§ создание контролируемых зон.
Методы обеспечения защиты секретной информации:
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Механизмы шифрования — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.
Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Вся совокупность технических средств подразделяется на аппаратные и физические.
Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.
Из средств ПО системы защиты необходимо выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.
Заключение
Можно сказать, что не существует одного абсолютно надежного метода защиты секретной информации. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.
Ранее контроль доступа к секретной информации и защита её от влияний извне был задачей технических администраторов. Сегодня же защита информации становится обязанностью каждого пользователя системы, что требует не только навыков обращения с системой безопасности, но и знаний о способах неправомерного доступа для предотвращения такового. Надежный контроль над информацией обеспечивает безопасность бизнеса, а так же позволяет качественно и своевременно устранять ошибки, возникающие в течение производственных процессов, облегчая работу персонала.
Список литературы
1. Барсуков В.С. Безопасность: технологии, средства, услуги / В.С. Барсуков. – М., 2001 – 496 с.
2. Барсуков В.С. Современные технологии безопасности / В.С. Барсуков, В.В. Водолазский. – М.: Нолидж, 2000. – 496 с., ил.Ярочкин В.И.
3. Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, А.М. Ивашко. - М.: Горячая линия – Телеком, 2000. - 452 с., ил.
4. Информационная безопасность. Учебник для студентов вузов / 3-е изд. – М.: Академический проект: Трикста, 2005. – 544 с.
5. Компьютерная преступность и информационная безопасность / А.П. Леонов [и др.]; под общ. Ред. А.П. Леонова. – Минск: АРИЛ, 2000. – 552 с.