Защита ПК от несанкционированного доступа
Филиал
в г. Мурманске
Кафедра –
Специальность – Документоведение и ДОУ
Дисциплина
– Информационная безопасность и
защита информации
Контрольная
робота
Защита
ПК от несанкционированного доступа
Выполнила:
Проверил:
г. Мурманск 2010
Оглавление
Введение 3
1. Необходимость и потребность в защите информации 5
1.2. Основные понятия 8
1.3. Угрозы безопасности 11
1.4. Каналы утечки и несанкционированного доступа к информации 15
2. Методы и средства защиты 19
2.1. Принципы проектирования системы защиты 22
Заключение 26
Список
литературы 28
Введение
Выбранная мной тема контрольной работы, защита ПК от несанкционированного доступа, является актуальной в наше время, поскольку развитие персональные ЭВМ (ПЭВМ или ПК) прочно вошли во все сферы человеческой деятельности. Вместе с ними у эксплуатирующих ПЭВМ организаций и ведомств возникли и многочисленные проблемы. Одна из них — защита информации. Согласно статистическим данным более 80% компаний и агентств несут финансовые убытки из-за нарушения безопасности данных.
Проблема
защиты информации от постороннего доступа
и нежелательных воздействий
на нее возникла давно, с той поры,
когда человеку по каким-либо причинам
не хотелось делиться ею ни с кем
или не с каждым человеком. С развитием
человеческого общества, появлением
частной собственности, государственного
строя, борьбой за власть и в дальнейшем
расширением масштабов
В
современной российской рыночной экономике
обязательным условием успеха предпринимателя
в бизнесе, получения прибыли
и сохранения в целостности созданной
им организационной структуры
Изменения,
происходящие в экономической жизни
России – создание финансово-кредитной
системы, предприятий различных
форм собственности оказывают
В
частности, к этой ситуации относится
факт хищения технической и деловой
информации. Как правило, это хищение
связано с потерей
«Безопасность» необходимо рассматривать как качество развития мер безопасности, которые направлены на предотвращение внутренних и внешних угроз.
Цель донной контрольной работы, рассмотреть вопрос, касающийся защиты документированной информации от несанкционированного доступа, выявить источник угрозы информации и определить способ защиты от них.
Задачи:
- выявить основные источники угрозы информации;
- описать способы защиты;
- рассмотреть
правовую сторону информационной безопасности;
- Необходимость и потребность в защите информации
Жизнь современного общества немыслима без современных информационных технологий. Компьютеры обслуживают банковские системы, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов, управляют самолетами, космическими кораблями. Компьютерные сети и телекоммуникации предопределяют надежность и мощность систем обороны и безопасности страны. Компьютеры обеспечивают хранение информации, ее ' обработку и предоставление потребителям, реализуя таким образом информационные технологии.
Однако именно высокая степень автоматизации порождает риск снижения безопасности (личной, информационной, государственной, и т.п.). Доступность и широкое распространение информационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению к деструктивным воздействиям. Тому есть много примеров. Так, каждые 20 секунд в США совершается преступление с использованием программных средств, 80% этих преступлений, расследуемых ФБР, происходит через сеть Internet. Потери от хищений или повреждений компьютерных сетей превышают 100 млн. долл. в год.
Субъекты
производственно-хозяйственных
Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):
- источников (поставщиков) информации;
- пользователей (потребителей) информации;
- собственников (владельцев, распорядителей) информации;
- физических и юридических лиц, о которых собирается информация;
- владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.
Для
успешного осуществления
- своевременного доступа (за приемлемое для них время) к необходимой информации;
- конфиденциальности (сохранения в тайне) определенной части информации;
- достоверности (полноты, точности, адекватности, целостности) информации;
- защиты от навязывания ложной (недостоверной, искаженной) информации, т.е. от дезинформации;
- защиты части информации от незаконного ее тиражирования (защита авторских прав, прав собственника информации и т.п.);
- разграничения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
- контроля и управления процессами обработки и передачи информации.
Будучи заинтересованными, в обеспечении хотя бы одного из вышеназванных требований субъект информационных отношений является уязвимым, т.е. потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности (конечно, в различной степени в зависимости от величины ущерба, который им может быть нанесен).
Известно следующее разделение информации по уровню важности:
1)
жизненно важная, незаменимая информация,
наличие которой необходимо
2)
важная информация - информация, которая
может быть заменена или
3) полезная информация - информация, которую трудно восстановить, однако организация может функционировать и без нее;
4)
несущественная информация - информация,
которая больше не нужна
Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечение их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:
- доступность информации, т.е. свойство системы (среды, средств и технологий ее обработки), в которой циркулирует информация, характеризующаяся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующим их данным и готовностью соответствующих автоматизированных служб к выполнению поступающих от субъектов запросов;
- целостность информации, т.е. свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и целостности информации, т.е. ее неискаженности;
-
конфиденциальность информации - субъективно
определяемая (предписываемая) характеристика
(свойство) информации, указывающая на
необходимость введения ограничений на
круг субъектов, которые имеют доступ
к данной информации, и обеспечиваемая
способностью системы (среды) сохранять
указанную информацию в тайне от субъектов,
не имеющих полномочий на доступ к ней.
Объективные предпосылки подобного ограничения
доступности информации для одних субъектов
заключены в необходимости защиты законных
интересов других субъектов информационных
отношений.
- Основные понятия
Защита информации - это средства
обеспечения безопасности
Цель
защиты информации - противодействие
угрозам безопасности информации. Угроза
безопасности информации - действие или
событие, которое может привести
к разрушению, искажению или
- оборудования (технических средств);
- программ (программных средств);
- данных (информации);
- персонала.
С этой целью в соответствующих организациях и на соответствующих объектах строится система защиты. Система защиты - это совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом. Для построения эффективной системы защиты необходимо провести следующие работы:
1)
определить угрозы
2) выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к защищаемым данным;
3)
построить модель
4) выбрать соответствующие меры, методы, механизмы и средства защиты;
5)
построить замкнутую,
При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:
- устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТУ, оценивается уровень ее конфиденциальности и объем;
- определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т.д.;
- анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
- определяются мероприятия по обеспечению режима секретности на стадии разработки.
Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.
Наиболее
значимыми стандартами
- Угрозы безопасности
Основными видами угроз безопасности информационных технологий и информации (угроз интересам субъектов информационных отношений) являются:
- стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);
- сбои и отказы оборудования (технических средств) АИТУ;
- последствия ошибок проектирования и разработки компонентов АИТУ (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);
- ошибки эксплуатации (пользователей, операторов и другого персонала);
- преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Угрозы
безопасности можно классифицировать
по различным признакам. По результатам
акции: 1) угроза утечки; 2) угроза модификации;
3) угроза утраты. По нарушению свойств
информации: а) угроза нарушения конфиденциальности
обрабатываемой информации; б) угроза
нарушения целостности
Естественные угрозы - это угрозы, вызванные воздействиями на АИТУ и ее элементы объективных физических процессов или стихийных природных явлений. Искусственные угрозы - это угрозы АИТУ, вызванные деятельностью человека. Среди них, исходя и мотивации действий, можно выделить: а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АИТУ и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; б) преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников). Источники угроз по отношению к информационной технологии могут быть внешними или внутренними (компоненты самой АИТУ - ее аппаратура, программы, персонал).
Основные непреднамеренные искусственные угрозы АИТУ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
1)
неумышленные действия, приводящие
к частичному или полному
2)
неправомерное включение
3) неумышленная, порча носителей информации;
4)
запуск технологических
5)
нелегальное внедрение и
6) заражение компьютера вирусами;
7)
неосторожные действия, приводящие
к разглашению
8)
разглашение, передача или
9)
проектирование архитектуры
10)
игнорирование организационных
ограничений (установленных
11)
вход в систему в обход
12)
некомпетентное использование,
13)
пересылка данных по
14) ввод ошибочных данных;
15)
неумышленное повреждение
Основные
преднамеренные искусственные угрозы
характеризуются возможными путями
умышленной дезорганизации работы, вывода
системы из строя, проникновения
в систему и
а) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
б)
отключение или вывод из строя
подсистем обеспечения
в) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
г) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
д) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
е) применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;
ж) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
з) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
и) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и персональных ЭВМ);
к)
несанкционированное
л) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
м) чтение остатков информации из оперативной памяти и с внешних запоминающих устройств;
н) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных операционных систем и систем программирования;
о)
незаконное получение паролей и
других реквизитов разграничения доступа
(агентурным путем, используя халатность
пользователей, путем подбора, имитации
интерфейса системы и т.п.) с последующей
маскировкой под
п) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие, как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;
р) вскрытие шифров криптозащиты информации;
с) внедрение аппаратных спецвложений, программ «закладок» и «вирусов» («троянских коней» и «жучков»), т.е. таких участков программ, которые не нужны для осуществления заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
т) незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
у) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Следует
заметить, что чаще всего для достижения
поставленной цели злоумышленник использует
не один способ, а их некоторую совокупность
из перечисленных выше.
- Каналы утечки и несанкционированного доступа к информации
Возможные
пути умышленной дезорганизации работы,
вывода системы из строя, проникновения
в систему и
Модель нарушителя:
При разработке модели нарушителя определяются: 1) предположения о категориях лиц, к которым может принадлежать нарушитель; 2) предположения о мотивах действий нарушителя (целях, преследуемых нарушителем); 3) предположения о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения); 4) ограничения и предположения о характере возможных действий нарушителя.

- Защита пользователя от информационных перегрузок
- Защита почв от загрязнения
- Защита прав
- Защита прав авторов
- Защита прав авторов на музыкальные произведения
- Защита прав авторов программ для ЭВМ и база данных
- Защита права на свободу и личную неприкосновенность человека в решениях Конституционного суда РФ
- Защита персональных данных работника
- Защита персональных данных работника
- Защита персональных данных работника
- Защита персональных данных работника
- Защита персональных данных работника
- Защита персональных данных работников на локальном уровне
- Защита персональных данных работников. Ученический договор