Защита информации в автоматизированных системах обработки данных. 2

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РФ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО  ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

"ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ"

Кафедра электроники телекоммуникаций и  компьютерных технологий 

Специальность 075300 “Организация и технология защиты информации” 

Курсовая  работа

по  дисциплинам  специализации

на тему:

"Защита  информации в автоматизированных  системах обработки данных" 
 
 

Выполнил:

студент 4 курса группы ЗИ-4

Кондратенко Илья Александрович

_______________ 

Научный руководитель:

Фролов  Илья Николаевич

_______________ 
 
 
 

ЛИПЕЦК 2011 

     Содержание 

Введение…………………………………………………………………………...3

1. Методы и средства защиты информации…………………………….…...5
2. Защита от несанкционированного доступа к информации…………..….8
3. Защита компьютерных систем методами криптографии……………..…9
4. Обеспечение информационной безопасности компьютерных систем……………………………………………………………………...11
5. Безопасность автоматизированных систем обработки данных…..……15
6. Концепция защиты от несанкционированного доступа к информации……………………………………………………………….21

Заключение……………………………………………………………………….26

Список литературы………………………………………………………...…….28 

     Введение 

     Существуют  различные способы покушения  на информационную безопасность: радиотехнические, акустические, программные и т.п. Среди них несанкционированный  доступ выделяется как доступ к информации, нарушающий установленные правила  разграничения доступа, с использованием штатных средств, предоставляемых  средств вычислительной техники  или автоматизированных систем.

     Защита  автоматизированных систем должна обеспечиваться на всех технологических этапах обработки  информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

     Для защиты информации в автоматизированных системах обработки данных используются различные методы и средства защиты. Они включают в себя безопасность и целостность данных. Для определения  средств защиты различают степени  подготовленности нарушителей. Так  же различают виды нарушений с  позиции нарушителя. Это умышленные и неумышленные.

     В защите информации персонального компьютера от несанкционированного доступа можно  выделить три основных направления:

     Первое  ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах  опознавания пользователя.

     Второе  связано с защитой вычислительной среды и основывается на создании специального программного обеспечения  по защите информации.

     Третье  направление связано с использованием специальных средств защиты информации персонального компьютера от несанкционированного доступа.

     В современных компьютерных системах используются криптографические системы  защиты, которые предполагают защиту, аутентификацию (доказательство подлинности) и хранение информации. Выполнение процесса криптографического закрытия информации может быть аппаратным и программным.

     Для защиты информации в компьютерных системах используются различные методы. Такие  как законодательные, организационные, технические, математические, программные, а так же морально-этические. Используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Наиболее распространены средства защиты вычислительных ресурсов, использующие парольную идентификацию, ограничивающие доступ несанкционированного пользователя, применение методов шифрования; средства защиты от копирования, компьютерных вирусов.

     Неотъемлемой  частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения  и практическую реализацию средств  защиты.

     Защита  автоматизированных систем должна предусматривать  контроль эффективности средств  защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости  пользователем автоматизированных систем или контролирующими органами.

     Цель: проанализировать методы и средства защиты информации в автоматизированных системах обработки данных.

     Задачи:

• классифицировать методы и средства защиты информации;
• рассмотреть защиту информации методами криптографии
• описать концепции защиты от несанкционированного доступа к информации.

1. Методы и средства защиты информации 

     Понятие «защита информации в вычислительных системах» предполагает проведение мероприятий в двух взаимосвязанных  направлениях: безопасность данных и  целостность данных.

     Безопасность  данных связана с их защитой от намеренного разрушения, искажения  или случайного доступа лиц, не имеющих  на это право.

     Целостность – это гарантия их согласованности, правильности и полноты. Пользователи наделены правом общения с вычислительной системой, т.е. они авторизованные.

     Для определения средств защиты информации целесообразно различать степень  подготовленности нарушителей. По степени  подготовленности среди нарушителей  могут быть малокомпетентные лица, профессиональный персонал, высококвалифицированный  персонал. Степень подготовленности нарушителей обратно пропорциональна  надежности и прямо пропорциональна  сложности защиты информации.

     С позиции нарушителя безопасности и  целостности виды нарушений соответственно подразделяются на умышленные и неумышленные. К умышленным относится хищение (уничтожение) носителей информации, подслушивание, несанкционированное копирование информации с помощью терминалов и др.

     Искажение целостности – результат случайных  ошибок персонала, неверного исполнения программ и т.д.

     Для защиты информации в компьютерных системах применяются следующие методы:

1. Законодательные;
2. Организационные;
3. Технические;
4. Математические;
5. Программные;
6. Морально-этические.

     Организационные меры используются для защиты почти  от всех известных нарушений безопасности и целостности вычислительных систем. Это организация наблюдения в  вычислительной системе, проверка и  подготовка персонала, контроль над изменениями в программном и математическом обеспечении, создание административной службы защиты, разработка нормативных положений о деятельности вычислительной системы.

     Организационные мероприятия дополняют защиту информации на этапах ее хранения и передачи.

     Технические используют различные технические  средства. Назначение некоторых из них – удаление информации при  попытке изъятия накопителя, похищении  компьютера, проникновении в зону обслуживания компьютера (сервера) или  при нажатии определенной кнопки. Принцип действия данных устройств  – форматирование накопителя.

     Математические. В вычислительных системах следует использовать достаточно разнообразные шифры. Криптографические методы используются, как правило, при хранении и передаче информации.

     Программные. Используют различные программные  методы, которые значительно расширяют  возможности по обеспечению безопасности хранящейся информации. Среди стандартных  защитных средств персонального  компьютера наиболее распространены:

• Средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя.
• Применение различных методов шифрования, не зависящих от контекста информации.
• Средства защиты от копирования коммерческих программных продуктов.
• Защита от компьютерных вирусов и создание архивов.

     Морально-этические. Считается, что и этические кодексы  оказывают положительное воздействие  на персонал. В организациях приняты  и вывешены на видных местах этические  кодексы.[1] 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     2. Защита от несанкционированного доступа к информации 

     Особенности защиты персонального компьютера обусловлены  спецификой их использования.

     Стандартность архитектурных принципов построения оборудования и программного обеспечения  персонального компьютера, высокая  мобильность программного обеспечения  и ряд других признаков определяют сравнительно легкий доступ профессионала  к информации, находящейся в персональном компьютере. Если персональным компьютером  пользуется группа пользователей, то может  возникнуть необходимость в ограничении  доступа к информации различных  потребителей.

     Несанкционированный доступ к информации будем называть незапланированное ознакомление, обработку, копирование, применение различных  вирусов, в том числе разрушающих  программные продукты, а так же модификацию или уничтожение  информации в нарушение установленных  правил разграничения доступа. В  защите информации персонального компьютера от несанкционированного доступа можно  выделить три основных направления:

• Первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;
• Второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации;
• Третье направление связано с использованием специальных средств защиты информации персонального компьютера от несанкционированного доступа.[2]

3. Защита компьютерных систем методами криптографии 

     В современных компьютерных системах криптографические системы используются в следующих случаях:

• Защита информации
• Аутентификация (доказательство подлинности) передаваемой информации или права на доступ к данным.
• Хранение данных на носителях.

     Процесс криптографического закрытия данных может  выполняться как программно, так  и аппаратно.

     Аппаратная  реализация отличается существенно  большей стоимостью, однако обладает и преимуществами: высокая производительность, повышенная защищенность и т.д. Программная  реализация более практична, допускает  значительную гибкость в использовании  и стоит дешевле.

     Ключ – информация, необходимая для шифрования или де шифрования текстов.

     Пространство  ключей – набор возможных значений ключа.

     Криптостойкость – характеристика ключа, определяющая его стойкость к де шифрованию без знания ключа, т.е. криптоанализу. Она измеряется в MIPS-часах или MIPS-годах.

     Эффективность криптоалгоритма – отношение затрат криптоаналитика на вскрытие шифровки к временным затратам криптографа на создание шифровки.

     Методы  и способы аппаратной защиты должны удовлетворять следующим требованиям:

• С учетом затрат выбираемый метод должен предотвращать случайное копирование и защищать от преднамеренного копирования и подделки;
• Возможность копирования ключа должна быть предотвращена;
• Электронное устройство защиты (ЭУЗ) не должно мешать нормальной работе системы или затруднять использование программного обеспечения других фирм, которое может быть защищено другими средствами;
• Допускать одновременное использование программных средств с различными типами ключей защиты.

     Скорость  полного перебора паролей на компьютере Pentium/120 для различных криптосистем

     В то время, когда вычислительной мощности для полного перебора всех паролей  не хватало, хакерами был придуман остроумный метод, основанный на том, что в качестве пароля человеком обычно выбирается существующее слово или информация о себе или знакомых (имя, дата рождения и т.д.). Поскольку в любом языке не более 100 000 слов, то их перебор займет весьма небольшое время, то от 40 до 80% существующих паролей может быть угадано с помощью такой схемы, называемой «атакой по словарю». До 80% паролей может быть угадано с использованием словаря размером всего 1 000 слов.[4] 

     4. Обеспечение информационной безопасности компьютерных систем 

     Начиная с 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий» и группу поддерживающих его нормативных документов. Активность организаций по стандартизации ведущих государств, реально произошедшие изменения во взглядах специалистов к проблеме информационной безопасности (ИБ) и явились предостережением, что Россия может упустить реальный шанс вовремя освоить новейшее технологическое обеспечение информационной безопасности.

     Актуальность  решения задачи гармонизации отечественной  нормативной базы с международными стандартами, а также вопросов применения международных стандартов в отечественной  практике очень велика. Отрицательное  решение данных задач может не только затормозить развитие отечественных  систем информационной безопасности, но и откинуть Россию с достигнутых на сегодняшний день позиций в данной области.

     В мире произошло переосмысление подходов к решению проблемы обеспечения  информационной безопасности. С момента  принятия международного стандарта  ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности.

     До  недавнего времени нормативной  основой решения задач защиты информации являлись стандарты ISO 7498-2:1989 «Архитектура безопасности ВОС» и ISO/IEC 10181:1996 «Основы положения безопасности открытых систем». Эти документы определяли взгляды специалистов на теоретические подходы обеспечения защиты информации.

      Общую логику построения систем защиты информации можно представить  следующим образом: 

Общие механизмы  безопасности:

1. доверительная функциональность;

2. метки безопасности;

3. обнаружение событий;

4. аудит безопасности;

5. восстановление безопасности.

Угрозы

безопасности

Механизмы

безопасности

Услуги

безопасности

Специальные механизмы  безопасности:

1. шифрование;

2. механизмы цифровой  прописи;

3. механизмы управления  доступом;

4. механизмы обеспечения  защиты целостности  данных;

5. механизмы аутентификации;

6. механизмы заполнения  трафика;

7. механизмы управления  маршрутизацией;

8. механизмы нотаризации.

  Базовые услуги безопасности:

1. конфедициальность;

2. аутентификация;

3. Целостность;

4. управление доступом;

5. неотказуемость.

Дополнительная  услуга:

доступность.

     Сфера действий стандарта ISO 7498-2 ограничивалась компьютерными системами, построенными на основе семиуровневой модели ВОС. Однако предложенный подход к построению систем защиты информации был обобщен на все открытые системы обработки, передачи и хранения информации принятием в 1996 году международного стандарта ISO/IEC 10181.

     Одновременно  с трансформацией взглядов на процессы обработки происходит и изменение  взглядов на подходы к обеспечению  безопасности информации. Широкая сфера  применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности «Угроза безопасности Þ услуга безопасности Þ механизм безопасности» перестала удовлетворять как потребителя ИТ-систем, так и их разработчика.

     По  типу основных классов угроз выделяют пять основных целевых задач безопасности ИТ-систем.

     1. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь может использовать ресурс в соответствии с правилами установленными политикой безопасности. Эта задача направлена на предотвращение преднамеренных или непреднамеренных угроз неавторизованного удаления данных или необоснованного отказа в доступе к услуге, попыток использования системы и данных в неразрешенных целях.

     2. Обеспечение целостности системы и данных рассматривается в двух аспектах. Во-первых, это целостность данных означает, что данные не могут быть модифицированы неавторизованным пользователем или процессом во время их хранения, передачи и обработки. Во-вторых, целостность заключается в том, что ни один компонент системы не может быть удален, модифицирован или добавлен.

     3. Обеспечение конфедициальности данных и системной информации предполагает, что информация не может быть получена неавторизованным пользователем во время её хранения, обработки и передачи.

     4. Обеспечение наблюдаемости направлено на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использовании пассивных объектов, устанавливать идентификаторы причастных к событиям пользователей и процессов с целью предотвращения нарушения безопасности и обеспечения ответственности пользователей за выполненные действия.

     5. Обеспечение гарантий – это совокупность требований, составляющих некоторую шкалу оценки для определения степени уверенности в том, что:

• функциональные требования действительно сформулированы и корректно реализованы;
• принятые меры защиты обеспечивают адекватную защиту ИТ-системы;
• обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.[3]

     Пять  основных задач тесно  взаимосвязаны и  взаимозависимы друг от друга: 

КОНФЕДИЦИАЛЬНОСТЬ

ЦЕЛОСТНОСТЬ

ЦЕЛОСТНОСТЬ 

КОНФЕДИЦИАЛЬНОСТЬ

НАБЛЮДАЕМОСТЬ

КОНФЕДИЦ.            ЦЕЛОСТНОСТЬ

ДОСТУПНОСТЬ 

КОНФЕДИЦ.            ЦЕЛОСТНОСТЬ

Г А Р А Н  Т И И

     5. Безопасность автоматизированных систем обработки данных

     Научно-техническая  революция в последнее время  приняла грандиозные масштабы в  области информатизации общества на базе современных средств вычислительной техники, связи, а также современных  методов автоматизированной обработки  информации. Применение этих средств  и методов приняло всеобщий характер, а создаваемые при этом информационно-вычислительные системы и сети становятся глобальными  как в смысле территориальной распределённости, так и в смысле широты охвата в рамках единых технологий процессов сбора, передачи, накопления, хранения, поиска, переработки информации и выдачи ее для использования. Иными словами, человечество приступило к реализации задачи создания и использования целой индустрии переработки информации.

     В современном мире информационный ресурс стал одним из наиболее мощных рычагов  экономического развития. Владение ин формацией необходимого качества в  нужное время и в нужном месте  является залогом успеха в любом  виде хозяйственной деятельности. Монопольное  обладание определенной информацией  оказывается зачастую решающим преимуществом  в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного  фактора".

     Широкое внедрение персональных ЭВМ вывело уровень "информатизации" деловой  жизни на качественно новую ступень. Ныне трудно представить себе фирму  или предприятие (включая самые  мелкие), которые не были бы вооружены  современными средствами обработки  и передачи информации. В ЭВМ на носителях данных накапливаются  значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей большую ценность для ее владельца.