Основы информационной безопасности
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
МОСКОВСКИЙ
ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
СТАТИСТИКИ И ИНФОРМАТИКИ (МЭСИ)
РЯЗАНСКИЙ ФИЛИАЛ
Контрольная работа
По дисциплине: «Основы информационной безопасности»
На тему:1.Информационная безопасность в условиях функцио-
нирования в России глобальных сетей.
2.Методы криптографии.
3.Основные нормативные
сающиеся государственной
ные документы.
4.Основные технологии
Вариант 3.
Выполнила
студентка 3 курса заочной формы обучения
группы ЗНФ-001
Ковылина Н. С.
Проверила
Федосова О.А.
Рязань 2013
Содержание: Введение. 1.Информационная безопасность в условиях функционирования в России глобальных сетей. 2.Методы криптографии. 3.Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. 4.Основные технологии построения защищенных ЭИС. Заключение. Список литературы. |
Стр. 3 5
7 10
13 16 18 |
Введение
Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
- Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
- Целостность: неизменность информации в процессе её передачи или хранения.
- Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Информационная безопасность (а
Безопасность информации (данных)
определяется отсутствием недопустимого
риска, связанного с утечкой информации
по техническим каналам, несанкционированными
и непреднамеренными
Безопасность
Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.
Поддерживающая инфраструктура
1.Информационная безопасность в условиях функционирования в России глобальных сетей.
Главной
целью создания сети Интернет было
обеспечение функциональности при
выходе из строя одного или нескольких
ее узлов, цель в общем состояла в
обеспечение безопасности. Однако,
исходно сеть создавалась как
незащищенная открытая система, предназначенная
для информационного общения
все возрастающего числа
Internet создавался
как незащищенная система, не
предназначенная для хранения
и обработки конфиденциальной
информации. Следовательно, протоколы
используемые в этой сети
На мой
взгляд, в Сети не должна находиться
информация, раскрытие которой приведет
к серьезным последствиям. Наоборот,
в Сети необходимо размещать информацию,
распространение которой
По оценке
экспертов самым
1. Большинство компьютерных преступлений в России и за рубежом
совершаются путём несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей, чаще всего с использованием возможностей, которые предоставляет сеть Internet.
2. Абсолютное
большинство преступлений
Уникальное положение сети Internet, которая не принадлежит одному владельцу, позволяет использовать её возможности в различных криминальных направлениях:
1.Сеть Internet
используется в качестве среды
для преступной деятельности, в
основном для обмена
2.Служит
информационной средой, в которой
осуществляется глобальное
3.Является инструментом для совершения преступлений. Наиболее распространённые правонарушения:
a)Проникновение
в кредитно-финансовую систему,
b)Хищения электронной наличности.
c)Нарушение авторских прав.
d)Нелегальное получение товаров и услуг (например, бесплатные телефонные разговоры).
e)Мошенническая деятельность (финансовые пирамиды, фиктивные фирмы и т.п.).
f)Нарушение
законов, связанных с
Для России
особенно характерен "синдром Робин
Гуда" – хакеры представляются благородными
борцами с душегубами-
2.Методы криптографии.
Криптогра́фия (от др.-греч. κρ
Изначально криптография изучала
методы шифрования информации — обратимого
преобразования открытого (исходного)
текста на основе секрет-ного алгоритма
и/или ключа в шифрованный текст (шифротекст). Тради-ционная
криптография образует раздел симметричных криптосистем,
в которых зашифрование и расшифрование
проводится с использованием одного и
того же секретного ключа. Помимо этого
раздела современная криптография включает
в себя асимметричные криптосистемы,
системы электронной цифровой подписи (ЭЦП), хеш-функции, уп
Криптография не занимается: защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищенных системах передачи данных.
Криптографические методы наиболее часто подразделяются в зависимости от количества ключей, используемых в соответствующих криптоалгоритмах (см. рис. 1):
1. Бесключевые, в которых не используются какие-либо ключи.
2. Одноключевые - в них используется некий дополнительный ключевой параметр - обычно это секретный ключ.
3. Двухключевые, использующие в своих вычислениях два ключа: секретный и открытый.
|
|
Рис. 1. Классификация |
Обзор криптографических методов.
Прежде чем говорить о шифровании давайте обсудим и остальные криптографические методы:
1.Электронная подпись используется
для подтверждения целостности и авторства
данных. Целостность данных означает,
что данные не были случайно или преднамеренно
изменены при их хранении или передаче.
Алгоритмы электронной подписи используют
два вида ключей:
- секретный ключ используется для вычисления электронной подписи;
- открытый ключ используется для ее проверки.
При использовании криптографически сильного алгоритма электрон-ной подписи и при грамотном хранении и использовании секретного ключа (то есть при невозможности использования ключа никем, кроме его вла-дельца) никто другой не в состоянии вычислить верную электронную под-пись какого-либо электронного документа.
2.Аутентификация позволяет проверить, что пользователь (или уда-ленный компьютер) действительно является тем, за кого он себя выдает. Простейшей схемой аутентификации является парольная - в качестве секретного элемента в ней используется пароль, который предъявляется пользователем при его проверке. Такая схема является слабой, если для ее усиления не применяются специальные административно-технические меры.
3. Методы криптографического контрольного суммирования:
- ключевое и бесключевое хэширование;
- вычисление имитоприставок;
- использование кодов аутентификации сообщений.
Фактически, все эти методы различным
образом из данных произволь-ного размера
с использованием секретного ключа или
без него (бесключе-вое хэширование) вычисляют
некую контрольную сумму фиксированного
размера, однозначно соответствующую
исходным данным.
4. Генераторы случайных и псевдослучайных чисел позволяют создавать последовательности случайных чисел, которые широко используются в криптографии, в частности:
- случайные числа необходимы для генерации секретных ключей, которые, в идеале, должны быть абсолютно случайными;
- случайные числа применяются во многих алгоритмах электронной подписи;
- случайные числа используются во многих схемах аутентификации.
Не всегда возможно получение абсолютно
случайных чисел - для этого необходимо
наличие качественных аппаратных генераторов.
Однако, на основе алгоритмов симметричного
шифрования можно построить качественные
генераторы псевдослучайных чисел.
Криптографические генераторы псевдослучайных
чисел обычно используют большой
пул (seed-значение), содержащий случайную
информацию. Биты генерируется путем
выборки из пула с возможным прогоном
через криптографическую хэш-
3.Основные нормативные
руководящие документы,
Общепризнанным является факт возрастания роли информационной безопасности в общей системе национальной безопасности. При этом под информационной безопасностью понимается "состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства".
В последнее время Концепция национальной безопасности РФ, изло-женная в Указе Президента РФ от 17.12.97г. №1300, претерпела значитель-ные изменения. Указом Президента РФ № 24 от 10.01.2000г. "О концепции национальной безопасности РФ" в нее были внесены поправки и дополнения.
Как известно, эффективное функционирование
любой организацион-ной и
Информационное
Предметом правового регулирования в информационной сфере являются:
- создание и распространение информации;
- формирование информационных ресурсов;
- реализация права на поиск, получение, передачу и потребление информации;
- создание и применение информационных систем и технологий;
- создание и применение средств информационной безопасности.
Формирование законодательства в
области информационного права
в России началось, в основном, со
времени появления "Концепции
правовой информатизации России", утвержденной
Указом Президента РФ от 28.06.93г. №966. В
основе информационного
В настоящее время в стране действуют следующие нормативные акты, регулирующие отношения в информационной сфере.
- Конституция РФ.
- Федеральные законы:
- Гражданский кодекс РФ;
- Уголовный кодекс РФ;
- Уголовно-процессуальный
- Кодекс РСФСР об
- Закон "Об информации, информатизации и защите информации" и др. (всего около 80 законов);
- Указы и Распоряжения
- Постановления Правительства РФ;
- другие подзаконные акты: местные, ведомственные и внутриоргани-зационные.
Совокупность
Выделяют
4 уровня правового обеспечения
Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:
- международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;
- Конституция РФ (ст. 23, право на тайну переписки);
- Гражданский кодекс РФ (ст. 139, возмещение убытков от утечек);
- Уголовный кодекс РФ (ст. 272-274, неправомерный доступ, распростра-нение вирусов, нарушение правил эксплуатации);
- Федеральный закон "Об информации, информатизации и защите информации" (ст. 10, категории доступа, ст. 21, порядок защиты информации);
- Федеральный закон "О государственной тайне" (ст. 5, перечень сведений, ст. 8, степени секретно, ст. 20, органы защиты, ст. 28, порядок сертификации средств защиты).
- Федеральные законы "О лицензировании отдельных видов деятельности", "О связи", "Об электронной цифровой подписи", "Об авторском праве и смежных правах", "О правовой охране программ для электронных вычислительных машин и баз данных".
Второй уровень составляют подзаконные акты, к которым относятся указы Президента РФ, постановления Правительства РФ, письма Высшего Арбитражного Суда РФ, постановления пленумов Верховного Суда РФ.
Третий
уровень составляют государственные
стандарты (ГОСТы) в области защиты
информации (ГОСТ Р 50922-96 "Защита информации.
Основ-ные термины и
Четвёртый уровень образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в информационных системах конкретной организации (список сведений, составляющих коммерческую тайну предприятия и т.п.).
4.Основные технологии построения защищенных ЭИС (экономических информационных систем).
Весь
процесс организации и
1. Предпроектный анализ:
- исследуется информационные множества объекта автоматизации и представляется документооборот, формы, макеты документов, оригинальная схема данных;
- изучается перечень работ (функций) исследуемого объекта, результаты представляются деревом функций с последующей их формализацией;
- разрабатывается техническое задание (ТЗ): то есть определяется что нужно автоматизировать, описывается информация на входе и выходе и дается общая постановка задачи;
- технико-экономическое обоснование (ТЭО) по необходимости разработки ЭИС.
2. Разработка
технического проекта ЭИС,
3. Разработка
внутримашинной технологии
- схемы взаимодействия модулей;
- схемы работы каждого модуля и схемы ресурсов модулей.
ВИО:
- описание ИО (форм документов входных, выходных, нормативных и их макетов);
- описание баз данных (БД), нормативно-справочной информации, оперативной информации, макетов хранения информации на
машинных носителях.
4. Рабочий
проект. Построение алгоритмов и
программ, реализующих задачи ЭИС.
Если режим эксплуатации ЭИС
- диалоговый, а режим работы ЭИС
- децентрализованный, то разрабатывается
схема сценария диалога и
5. Отладка,
внедрение и написание
Основные прагматические принципы построения ЭИС:
1.Подсистемность. Полученное ЭИС должно представлять собой единое целое, иметь управляющее устройство, которое устанавливает связи между
пятью уровнями (управление, информция, время, функции, деятельность).
2.Комплексность. При разработке и внедрении ЭИС соблюдается поэтапность по внедрению с последующей координацией.
3.Принцип новых задач. ЭИС должна позволять автоматизацию новых задач на объекте. Т.е. выполняется принцип развития связей с принципом разомкнутости системы.
4.Типовость. Разработка и внедрение предварительно апробированных подобных решений. Используются типовые проектные решения.
5.Принцип первого руководителя
6.Принцип подготовленности
При проектировании любой системы и, в частности, ЭИС должны соблюдаться два основных системных принципа: анализ и синтез.
Анализ - это процесс разбиения исследуемого объекта на составные части (на подсистемы и элементы) по внешним характеристическим
признакам. При этом должны соблюдаться следующие концепции анализа:
- концепция пары. Каждый вычлененный элемент исследуемого объекта характеризуется парой вида (вх. информация, вых. информация);
- концепция функциональной полноты. Каждому элементу ставится в соответствие функция. Тогда множество функций объекта должно обладать свойствами полноты, непротиворечивости и однозначности;
- концепция надежности элементов и системы в целом.
Синтез - это процесс создания единой функциональной единицы из самостоятельно определяющих ее частей. Основные концепции синтеза:
- концепция координации - входящие в систему (объект) элементы должны совмещаться между собой по времени, по передаваемой информации, по управлению, по деятельности;
- концепция качества переходных процессов - до тех пор, пока в Si-ой подсистеме или в некотором ei элементе не получен результат, не будет выполняться прием новых входных данных;
- концепция автономности - каждый ei элемент Si подсистемы представ-ляет собой самостоятельную единицу по обработке конкретной информа-ции и может быть вычленен из системы (объекта), проверен, отлажен, оттестирован и работать самостоятельно;
- концепция устойчивости - каждый элемент или подсистема должны быть качественны, то есть, надежны или помехоустойчивы, помехозащищены).
Таким образом,
в традиционно-фундаментальном
Процесс проектирования - это процесс создания схемы объекта по описанию его структуры, информационного пространства, и состоит из трех этапов:
1.этап концептуализации - связан с обследованием будущего объекта;
2.этап
формализации связан со
3.
этап оптимизации схем и
Заключение:
Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:
- высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
- вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
- повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических технологиях;
- отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;
- концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
- наличием интенсивного обмена информацией между участниками этого процесса;
- количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
- обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;
- дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости различных затрагиваемых субъектов);
- многообразием видов угроз и возможных каналов несанкционированного доступа к информации;
- ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему;
- развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).