Средства и методы защиты информации

    Министерство  образования и науки Российской Федерации

    Федеральное государственное бюджетное образовательное учреждение

    высшего профессионального образования

    «Рязанский государственный радиотехнический университет»

    Кафедра «Информационная безопасность» 
 
 
 
 
 
 

    Реферат

    по  дисциплине

    «Методы и средства защиты информации» 

    по  теме

    «Классификация  методов и средств  защиты информации» 
 
 
 
 

    Выполнили:

    студенты  группы 843

    Уваров  П.

    Кондрашов А. 

    Руководитель:

    заведующий  кафедрой

    «Информационная

    безопасность»

    Пржегорлинский В.Н 
 
 
 

Рязань, 2011 год

Содержание

Введение 3

1 Основные понятия защиты информации и информационной безопасности 4

2 Классификация и содержание возможных угроз информации 6

3 Методы и средства защита информации: основные понятия и определения 8

4  Организационно правовые методы защиты информации 11

    4.1 Правовые меры методы защиты информации 11

    4.2 Организационные методы защиты информации 12

5  Технические  методы и средства защиты информации 15

    5.1  Криптографические методы защиты информации 17

6  Основные методы и средства защиты информации в сетях 21

6.1 Физическая защита информации 21

6.2 Аппаратные средства защиты информации в КС 23

6.3 Программные средства защиты информации в КС 24

    6.3.1 Шифрование дисков 27

    6.3.2 Специализированные программные средства защиты информации 28

    6.3.3 Системы архивирования и дублирования информации 34

    6.3.4 Анализ защищенности 35

Заключение 37

Библиографический список 38

    Введение

 

          Под информационной безопасностью (безопасностью информации) понимают состояние защищенности собственно информации и её носителей (человека, органов, систем и средств, обеспечивающих получение, обработку, хранение, передачу и использование информации) от различного вида угроз. Источники этих угроз могут преднамеренными (т.е. имеющими цель незаконного получения информации) и непреднамеренными (такую цель не преследующими).

          Обеспечить безопасность информации можно различными методами и средствами как организационного, так и инженерного характера. Комплекс организационных мер, программных, технических и других методов и средств обеспечения безопасности информации образует систему защиты информации.

          На основе приведенных положений государственной политики обеспечения информационной безопасности должны проводиться все мероприятия по защите информации в различных сферах деятельности государства, в т.ч. в оборонной сфере. Это предполагает, в свою очередь, разработку соответствующего научно-технического и организационно-правого обеспечения защиты информации.

          Научно-техническое обеспечение должно быть направлено на достижение необходимого уровня защищенности информационных технологий, систем и средств информатизации и связи и заключается в проведении фундаментальных и прикладных исследований, создании защищенных технологий, средств и систем, а также создании средств и систем контроля состояния защиты информации.

          Организационно-правовое обеспечение защиты информации должно представлять собой высокоупорядоченную совокупность организационных решений, законов, нормативов и правил, регламентирующих как общую организацию работ по защите информации в масштабах государства и ведомства, так и создание, и функционирование систем защиты информации на конкретных объектах.

          Целью данной работы является – рассмотреть виды, средства и методы защиты информации;

 

    

    1 Основные понятия защиты информации и информационной безопасности

 

    Современные методы обработки, передачи и накопления информации способствовали появлению  угроз, связанных с возможностью потери, искажения и раскрытия  данных. Поэтому обеспечение информационной безопасности является одним из ведущих  направлений развития информационных технологий.

    Рассмотрим  основные понятия защиты информации и информационной безопасности:

    Защита  информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

    Объект  защиты – сама информация, носитель информации или информационный процесс, в отношении которых необходимо осуществлять защиту в соответствии с поставленной целью защиты информации.

    Цель  защиты информации – желаемый результат защиты информации. Целью защиты информации может являться предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной потери (утечки) информации или несанкционированного и непреднамеренного воздействия на информацию.

    Эффективность защиты информации – степень соответствия результатов защиты информации по отношению к поставленной цели.

    Защита  информации от утечки – деятельность по предотвращению распространения защищаемой информации (её разглашения), несанкционированного доступа к защищаемой информации и получения защищаемой информации злоумышленниками.

    Защита  информации от разглашения  – предотвращение несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

    Защита  информации от несанкционированного доступа – предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами, собственником либо владельцем информации правил доступа к защищаемой информации. Заинтересованным субъектом может быть юридическое лицо, группа физических лиц, общественная организация, отдельное физическое лицо и даже государство.

    Система защиты информации – совокупность органов и исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по установленным правилам, которые соответствуют правовым, организационно-распорядительным и нормативным документам по защите информации.

    Под информационной безопасностью понимают защищённость информации от незаконного ознакомления, преобразования и уничтожения, а также защищённость информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. (попытки проникновения злоумышленников, ошибки персонала, выход из строя аппаратных и программных средств, стихийные бедствия (ураган, землетрясение, пожар) и т. п.). [C. 15, 4]

    2 Классификация и содержание возможных угроз информации

 

    Угрозы  безопасности информации в современных  системах её обработки определяются умышленными (преднамеренные угрозы) и  естественными (непреднамеренные угрозы), разрушающими и искажающими воздействия  внешней среды, надёжностью функционирования средств обработки информации, а  также преднамеренных корыстным  воздействием несанкционированных  пользователей, целями которых являются хищение, уничтожение, разрушение, несанкционированная  модификация и использование  обрабатываемой информации. При этом под умышленными, или преднамеренными, понимаются такие угрозы, которые  обусловливаются злоумышленными действиями людей.

    Случайными, или естественными, являются угрозы, не зависящие от воли людей. В настоящее  время принята следующая классификация  угроз сохранности (целостности) информации.

    Источники угроз. Под источником угроз понимается непосредственный исполнитель угрозы с точки зрения её негативного воздействия на информацию. Источники можно разделить на следующие группы:

    — люди;

    — технические устройства;

    — модели, алгоритмы, программы;

    — технологические схемы обработки;

    — внешняя среда.

    Предпосылки появления угроз. Существуют следующие предпосылки, или причины появления угроз:

    — объективные (количественная или качественная недостаточность элементов системы) – не связанные непосредственно  с деятельностью людей и вызывающие случайные по характеру происхождения  угрозы;

    — субъективные – непосредственно  связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных  государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень  знаний) угрозы информации. [C. 20, 4]

    Угрозы  информационным ресурсам проявляются  в овладении конфиденциальной информацией, её модификации в интересах злоумышленника или её разрушении с целью нанесения  материального ущерба.

    Осуществление угроз информационной безопасности может быть произведено:

  • через агентурные источники в органах коммерческих структур, государственного управления, имеющих возможность получения конфиденциальной информации;
  • путём подкупа лиц, работающих на предприятии или в структурах, непосредственно связанных с его деятельностью;
  • путём перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических средств разведки и программно-математических воздействий на неё в процессе обработки и хранения;
  • путём подслушивания переговоров, ведущихся в служебных помещениях, автотранспорте, в квартирах и на дачах;
  • через переговорные процессы с зарубежными или отечественными фирмами, используя неосторожное обращение с информацией.
  • через «инициативников» из числа сотрудников, которые хотят улучшить своё благосостояние с помощью «заработка» денег или проявляют инициативу по другим материальным или моральным причинам. [C. 54, 5]

    3 Методы и средства защита информации: основные понятия и определения

 

    Вместе  с развитием способов и методов  преобразования и передачи информации постоянно развиваются и методы обеспечения её безопасности. Современный  этап развития этой проблемы характеризуется  переходом от традиционного её представления  как проблемы защиты информации к  более широкому пониманию – проблеме информационной безопасности, заключающейся  в комплексном её решении по двум основным направлениям.

    К первому можно отнести защиту государственной тайны и конфиденциальных сведений, обеспечивающую главным образом  невозможность несанкционированного доступа к ним. При этом под  конфиденциальными сведениями понимаются сведения ограниченного доступа  общественного характера (коммерческая тайна, партийная тайна и т. д.).

    Ко  второму направлению относится  защита от информации, которая в  последнее время приобретает  международный масштаб и стратегический характер. При этом выделяют три  основных направления защиты от так  называемого информационного оружия (воздействия):

    – на технические системы и средства;

    – общество;

    – психику человека.

    В соответствии с этим подходом уточнены и дополнены множества угроз  информации, функции и классы задач  по защите информации. [C. 134, 4]

    Установление  градаций важности защиты защищаемой информации) называют категорированием защищаемой информации. [C. 44, 3]

    Обеспечение безопасности информации требует сохранения следующих её свойств:

    – целостности;

    – доступности;

    – конфиденциальности.

    Целостность информации заключается в её существовании в неискажённом виде, т. е. неизменном по отношению к её исходному состоянию. Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения.

    Доступность – свойство, характеризующее способность информации обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.

    Конфиденциальность – свойство, указывающее на необходимость введения ограничений на доступ к ней определённого круга пользователей, а также статус, предоставленный данным и определяющий требуемую степень их защиты.  [C. 205,2]

    Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.

    Методы  обеспечения информационной безопасности весьма разнообразны.

    Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях. Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации. Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности. Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации. [C. 244,1]

    Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёхстадийная  разработка таких мер.

    I стадия – выработка требований  – включает:

  • определение состава средств информационной системы
  • анализ уязвимых элементов информационной системы
  • оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов)
  • анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы)

    II стадия – определение способов  защиты – включает ответы на  следующие вопросы:

  • какие угрозы должны быть устранены и в какой мере?
  • какие ресурсы системы должны быть защищаемы и в какой степени?
  • с помощью каких средств должна быть реализована защита?
  • какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учётом потенциальных угроз?

    III стадия – определение функций,  процедур и средств безопасности, реализуемых в виде некоторых  механизмов защиты. [C. 156,5]

    Первоочередными мероприятиями по реализации политики обеспечения информационной безопасности государства являются:

  • разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности;
  • разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
  • принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, повышение правовой культуры и компьютерной грамотности общества, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения;
  • развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности. [C. 176,5]

    Реализация  вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность  всего процесса информатизации в  организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и  глобальной информационных средах. [C. 194,3] 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

    4  Организационно правовые методы защиты информации

 

          Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию, и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:

  1. формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;
  2. определение мер ответственности за нарушение правил защиты информации;
  3. придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;
  4. придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

    В современной юриспруденции организационный  и правовой подходы не объединяют. Однако, вопреки сложившимся традициям, не следует ограничиваться рассмотрением  вопросов правовой защиты информации в рамках правовых аспектов комплексной  защиты информации. [C. 105,2]

    4.1 Правовые меры методы защиты информации

          К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:

  • законодательство об интеллектуальной собственности;
  • законодательство о средствах массовой информации;
  • законодательство о формировании информационных ресурсов и предоставлении информации из них;
  • законодательство о реализации права на поиск, получение и использование информации;

    законодательство  о создании и применении информационных технологий и средств их обеспечения. [C. 106,2]

          В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.

    В соответствии с действующим законодательством  информационные правоотношения – это  отношения, возникающие при:

  • формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
  • создании и использовании информационных технологий и средств их обеспечения;
  • защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

          В соответствии с определением, изложенным в Законе Российской Федерации «О государственной тайне», к средствам защиты информации относятся «технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты, информации».

          Неформальные средства делятся на организационные, законодательные и морально-этические. [C. 108,2]

    4.2 Организационные методы защиты информации

          Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.

            Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных. Влияние этих аспектов практически невозможно избежать или локализовать с помощью выше рассмотренных аппаратных и программных средств и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

            Основными мероприятиями являются следующие:

  • Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров.
  • Мероприятия, осуществляемые при подборе и подготовки персонала вычислительного центра (проверка принимаемых на работу, создание условий, при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты).
  • Организация надежного пропускного режима.
  • Контроль внесения изменений в математическое и программное обеспечение.
  • Ознакомление всех сотрудников с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
  • Чёткая классификация всей информации по степени её закрытости и введение правил обращения с документами ограниченного распространения.
  • Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.
  • Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.
  • Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.
  • Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интернету сведений изготовителю программного обеспечения. Особенно подобным поведением «грешат» программные продукты фирмы «Microsoft».
  • Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.
  • Приобрести сертифицированные средства защиты информации.
  • Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электронной почте стирать их, не разбираясь.