Университет

     Факультет 
 
 

           РЕФЕРАТ

     на  тему: 

     «Понятие безопасности и средства контроля безопасности в сетевой экономике» 
 
 
 

    Проверил:   ________________________

    Выполнила:  _______________________ 
 
 
 
 
 

     Ставрополь, 2009

     Содержание

Введение 3

1 Общие понятия безопасности 6

2 Средства защиты информационной безопасности 8

3 Средства и приложения для обеспечения сетевой безопасности 18

Заключение 25 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

     Вхождение России в глобальное экономическое  пространство предполагает не только «открытость» её экономики, но и устранение всех видов угроз на этом пути, которые  уже сейчас очевидны, в первую очередь, из-за слабой жизнеспособности основных композитов и, прежде всего, уровня реальной независимости как федерации  в целом, так и её регионов. Возросшая  мобильность информации, как товара, в системе финансово-кредитных  электронных платежей снизили этот показатель для России до 28%, а для  ряда регионов, в т.ч. Дальневосточного до 21,5% (2008год). Это означает, что прежние  формы организации жизни сами стали представлять реальную угрозу политической безопасности и экономическому укладу государства.

     Уровень интеллектуальной собственности россиян (в основном научной) составляет порядка 1% внутреннего валового продукта, хотя по числу учёных и разработчиков  мы вполне конкурентоспособны с США. Аналитики России могут привести лишь следующее сравнение: Америка  ежегодно реализует права на интеллектуальную собственность в размерах, сопоставимых с объёмом российского нефтяного  экспорта. Различные инвестиционные форумы, в т.ч. и на Дальнем Востоке  порождают у некоторых эйфорию  от возможностей подъёма экономики, но дальше сырьевых линий зарубежные стратеги вряд ли пойдут. Интересно, что  в макротехнологиях мировой экономики  почти треть разработок принадлежит  россиянам. Так в чём же дело?

     Такое положение может стать определённым только на основе прямых равноуправляемых связей всех со всеми.

     И первое, что требуется – это  то, что необходимо нормативно и  законодательно закрепить экономические  свободы, права и обязанности  всех заинтересованных в выживании, как первой фазе экономического развития. В принципе, такой способ организации  жизнедеятельности существует давно. Он называется сетевым бизнесом. Более  серьёзная форма определяется как  многоуровневый маркетинг. Следует отметить, что 40%миллионеров США, за последние сорок лет  вышли на «уровень» как сетевики. К сожалению, Россия в сетевом бизнесе занимает едва ли не предпоследнее место в Европе, хотя в межстрановом разделении труда по этому аспекту мы далеко не последние.

     Экономическая организация нынешнего российского  общества такова, что низкая себестоимость  сетевого продукта, сроки его реализации и эффективность (особенно электронной  формы) предопределили неизбежность замены традиционной конкуренции товаров  и валют на соперничество творческих возможностей. Заметим, что национальные, политические, экологические и другие виды безопасности здесь приобретают  формы биоэнергетического взаимодействия или неприятия.

     Современный мир характеризуется такой интересной тенденцией, как постоянное повышение  роли информации.

     Возникающие в современном обществе отношения  между людьми, связанные с передачей  знаний и сведений, определяются правовыми  актами. Знания, данные и сведения при этом зачастую называются «информацией».

     Информационная  сфера играет все возрастающую роль в обеспечении безопасности всех сфер жизнедеятельности общества, поэтому  защита информации является одним из важных направлений деятельности государства.

     Итак, в настоящее время и в ближайшем  будущем наибольшую опасность представляет информационная незащищенность. Поэтому  при обеспечении информационной безопасности организации необходимо учитывать, что обмен информацией  является первейшим условием жизнедеятельности  каждой организации.

     Известно, что система обеспечения информационной безопасности организации включает в себя сбор, классификацию, анализ, оценку, защиту и  
распространение актуальной информации для обеспечения защиты ресурсов  
организации с целью оптимальной реализации ее целей и интересов. Расширение применения современных информационных технологий делает  
возможным распространение различных злоупотреблений, связанных с  
использованием вычислительной техники (компьютерных преступлений). Для противодействия им или хотя бы уменьшения ущерба необходимо грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, порчи, несанкционированного доступа (НСД), несанкционированного чтения и копирования. Необходимо знание основных законодательных положений в этой области, организационных, экономических и иных мер обеспечения безопасности информации.

     В этих условиях обеспечение безопасности сетей и информации, передающейся по сетям особенно актуально. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1 Общие понятия безопасности

     Проблемы  обеспечения экономической безопасности страны, стабильного экономического развития государства и общества стоят перед многими странами мира. Современное социально-экономическое  положение России обусловливает  чрезвычайную актуальность целенаправленной деятельности государства в сфере  обеспечения экономической безопасности страны, российского общества и каждого  гражданина в отдельности.

     Для того, чтобы понять и осознать значение категории «экономическая безопасность»  необходимо дать характеристику термину  «безопасность» и определит в  чем его суть.

     Безопасность  – это такое состояние субъекта, при котором вероятность изменения  присущих этому субъекту качеств  и параметров его внешней среды  невелика, меньше определенного интервала. "Желательное" состояние субъекта определяется конкретным сочетанием параметров жизнедеятельности. В зависимости  от изменения этого сочетания, будет  меняться и понятие "желательное" изменение. Таким образом, не менее  важным для субъекта является правильная оценка уровня безопасности. Оценка безопасности субъектом может не совпадать  с ее реальным уровнем. Глубина этого  расхождения зависит от полноты  и глубины информации о складывающейся ситуации, от степени влияния ее изменений на состояние безопасности и т.д.

     Понятие “экономическая безопасность” неразрывно связано с понятием “национальная  безопасность”.

     Экономическая безопасность – это достаточность  обеспечения требуемого уровня национальной безопасности собственными финансовыми  и другими необходимыми ресурсами, создание благоприятных условий  для развития экономики и повышения  уровня конкурентоспособности страны и защищенность жизненно важных интересов  личности, общества и государства  в экономической сфере от внутренних и внешних угроз.

     Правовое  определение понятия «информация» дано в федеральном законе от 27 июля 2006 года № 149-ФЗ «Об информации, информатизации и о защите информации» (Статья 2): «информация – сведения (сообщения, данные) независимо от формы их представления».

     Информационная  безопасность – состояние защищенности информационных ресурсов, технологии их формирования и использования, а  также прав субъектов информационной деятельности.

     Под защитой информации понимается совокупность мероприятий, направленных на обеспечение целостности и конфиденциальности обрабатываемой в АСУ информации, а также доступности информации для органов управления.

     Целью защиты информации в АСУ является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

     Одним из методов защиты информации является политика безопасности, представляющая собой набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение критичной информации. 
 
 
 
 
 
 
 
 
 
 

2 Средства защиты  информационной безопасности

     Средства  защиты информации – это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

     В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости  от способа реализации можно разделить  на группы, как показано на рисунке 1. 

   Рисунок 1 – Средства защиты информации 

     Охарактеризуем  каждую из групп средств защиты информации.

     Первая  группа – технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

     Преимущества  технических средств связаны  с их надежностью, независимостью от субъективных факторов, высокой устойчивостью  к модификации.

     Слабые  стороны – недостаточная гибкость, относительно большие объем и  масса, высокая стоимость.

     К настоящему времени разработано  значительное число аппаратных средств  различного назначения, однако наибольшее распространение получают следующие:

• специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
• устройства измерения индивидуальных характеристик человека (голоса, отпечатков, сетчатки глаза) с целью его идентификации;
• схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
• устройства для шифрования информации (криптографические методы).

   Для защиты периметра информационной системы  создаются: 

• системы охранной и пожарной сигнализации;
• системы цифрового видеонаблюдения;
• системы контроля и управления доступом (СКУД).

     Защита  информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

• использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;
• установкой на линиях связи высокочастотных фильтров;
• построение экранированных помещений («капсул»);
• использование экранированного оборудования;
• установка активных систем зашумления;
• создание контролируемых зон.

     Вторая  группа – программные средства, которые включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

     Преимущества  программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и  развитию.

     Недостатки  – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

     К программным средствам защиты информации относятся:

• встроенные средства защиты информации в готовые программные продукты;
• специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства.

     В сетях ЭВМ наиболее эффективными являются криптографические способы  защиты информации. Криптография в переводе с древнегреческого означает «тайнопись». Суть ее заключается в том, что последовательность символов (открытый текст) подвергается некоторому преобразованию (в котором используется ключ) и в результате получается закрытый текст, непонятный тому, кто не знает алгоритма шифрования и, конечно, ключа. Для преобразования (шифрования) обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет просто и надёжно расшифровать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Даже простое преобразование информации является весьма эффективным средством, дающим возможность скрыть её смысл от большинства неквалифицированных нарушителей.

     К криптографическим методам зашиты в общем случае относятся:

• шифрование (расшифрование) информации;
• формирование и проверка цифровой подписи электронных документов.

     Шифры с секретным  ключом подразумевают наличие некой  информации (ключа), обладание которой  позволяет, как зашифровать, так  и расшифровать сообщение. С одной  стороны, такая схема имеет те недостатки, что необходимо кроме  открытого канала для передачи шифрограммы  наличие также секретного канала для передачи ключа, а кроме того, при утечке информации о ключе, невозможно доказать, от кого из двух корреспондентов  произошла утечка. С другой стороны, среди шифров именно этой группы есть единственная в мире схема шифровки, обладающая абсолютной теоретической  стойкостью. Все прочие можно расшифровать хотя бы в принципе.

     Шифры с открытым ключом подразумевают  наличие двух ключей – открытого  и закрытого; один используется для  шифровки, другой для расшифровки  сообщений. Открытый ключ публикуется  – доводится до сведения всех желающих, секретный же ключ хранится у его  владельца и является залогом  секретности сообщений. Суть метода в том, что зашифрованное при  помощи секретного ключа может быть расшифровано лишь при помощи открытого  и наоборот. Ключи эти генерируются парами и имеют однозначное соответствие друг другу. Причём из одного ключа  невозможно вычислить другой. Характерной  особенностью шифров этого типа, выгодно отличающих их от шифров с секретным ключом, является то, что секретный ключ здесь известен лишь одному человеку, в то время как в первой схеме он должен быть известен, по крайней мере, двоим.

     Электронная цифровая подпись (ЭЦП) – это последовательность символов, полученная в результате преобразования в технических средствах определенного объема информации по установленному математическому алгоритму с использованием ключей, имеющая неизменяемое соотношение с каждым символом данного объема информации.

     Вопросу предотвращения утечки информации криптографическим  путем  уделяется большое внимание. В США действует государственный  стандарт шифрования (DES – Data Encryption Standart), во всем мире разрабатываются  
математические методы, которые позволят кодировать сообщения в условиях  
эксплуатации в открытых сетях.

       Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.

• межсетевые экраны (также называемые брандмауэрами или файрволами (от нем. Brandmauer, англ. firewall – «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой;
• Proxy-servers (proxy – доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях – например, на уровне приложения (вирусы, код Java и JavaScript).
• VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.

     Под управлением доступом понимается способ защиты информации регулированием использования  всех ресурсов системы (технических, программных, элементов баз данных). В автоматизированных системах информационного обеспечения  должны быть регламентированы порядок  работы пользователей и персонала, право доступа к отдельным  файлам в базах данных и т.д.

     Упpaвлeниe дocтупoм включaeт cлeдующиe функции  зaщиты:

• идентификацию пoльзoвaтeлeй, персонaлa и ресурсов cиcтемы, пpичeм под идeнтификaциeй понимается процесс распознавания определенных компонентов системы, обычно с помощью уникальных, воспринимаемых системой имен (идентификаторов имeни – кoдa, пapoля и т.п.), и аутентификацию (уcтaнoвлeниe пoдлинности, oпoзнaниe), под которой понимается проверка идентификации пользователя, устройства или другого компонента в системе, обычно для принятия решения  о разрешении доступа к ресурсам системы;
• пpoверку пoлнoмoчий, зaключaющуюcя в пpoверкe cooтвeтвeтcтвия вpeмeни, ресурсов и пpoцeдуp уcтaнoвлeннoму peглaмeнту;
• paзpeшeниe и coздaниe уcлoвий paбoты в пpeдeлax (и тoлькo в пpeдeлax) уcтaнoвлeннoгo peглaмeнтa;
• peгиcтpaцию (пpoтoкoлиpoвaниe) oбpaщeний к зaщищаемым ресурсам;
• peaгиpoвaниe (зaдержкa paбoт, oткaз, oтключeниe, cигнaлизaция) пpи  
  пoпыткax несанкциoниpoвaнныx дeйcтвий.

     Самым распространенным методом установления подлинности является метод паролей. Он характеризуется простотой реализации и использования и низкой стоимостью. Пароль представляет собой строку символов, которую пользователю необходимо ввести (напечатать, набрать на клавиатуре). Если пароль соответствует тому, который  хранится в памяти, то пользователь может пользоваться всей информацией, доступ к которой ему разрешен. Пароль можно также использовать независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д.

     Различаются несколько типов паролей:

• простой пароль;
• пароль однократного использования;
• пароль на основе выбора символов;
• пароль на основе метода "зaпрос-oтвeт";
• пapoль нa оснoвe oпpeдeлeннoгo aлгopитмa.

     Третья  группа обеспечения средств защиты информации – организационные средства, которые складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).

     Преимущества  организационных средств состоят  в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют  на нежелательные действия в сети, имеют неограниченные возможности  модификации и развития.

     Недостатки  – высокая зависимость от субъективных факторов, в том числе от общей  организации работы в конкретном подразделении.

     Четвертая группа – смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

     На  аппаратно-программные средства зашиты от НСД возлагают решение следующих  основных задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи – сотрудники подразделений организации);
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (обеспечение возможности доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС для выполнения ими своих служебных обязанностей);
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;
• оперативный контроль за работой пользователей системы и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;
• защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;
• обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• гибкое управление всеми защитными механизмами.

     Пятая группа – морально-этические средства включают всевозможные нормы поведения, которые традиционно сложились  ранее, складываются по мере распространения  ИС и ИТ в стране и в мире или  специально разрабатываются. Морально-этические  нормы могут быть неписаные (например, честность) либо оформленные в некий  свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку  их несоблюдение приводит к падению  престижа организации, они считаются  обязательными для исполнения. Характерным  примером таких предписаний является Кодекс профессионального поведения  членов Ассоциации пользователей ЭВМ  США.

     Шестая группа – законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Среди них можно выделить следующие основные нормативные документы:

• концепция национальной безопасности России;
• федеральный закон «Об информации, информатизации и защите информации»;
• закон Российской Федерации «О государственной тайне»;
• указ Президента Российской Федерации «Вопросы государственной технической комиссии при президенте Российской Федерации»;
• указ Президента РФ «О государственной программе обеспечения защиты государственной тайны в Российской Федерации»;
• постановление Правительства РФ «О сертификации средств защиты информации».
• практические рекомендации «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;
• федеральный закон «Об участии в международном информационном обмене»;
• федеральный закон «Об электронной цифровой подписи»;
• федеральный закон «О федеральных органах правительственной связи и информации»;
• положение о подготовке к передаче сведений, составляющих государственную тайну, другим государствам.

     Кроме того, системы защиты от НСД должны обладать высокой надежностью, универсальностью, возможностями реализации современных  технологий защиты, невысокими требованиями к ресурсам защищаемых компьютеров, широкими возможностями по управлению механизмами защиты, должны работать с разнообразными средствами аппаратной поддержки защитных функций, и ориентироваться  на наиболее распространенные операционные системы.