Безопасность и защита информационных систем

 

                  Министерство внутренних дел Российской Федерации

Краснодарский университет

 

Кафедра информатики и  математики

 

 

 

 

 

 

 

 

                                               КУРСОВАЯ РАБОТА

 

Тема: «Безопасность и защита информационных систем»

 

 

 

 

 

Выполнила: Щербакова Ю.В.,

факультет психологии, 1курс, 313 группа.

 

Научный руководитель:

канд. педагогических наук

старший преподаватель кафедры 

майор полиции Сопильняк Ю. Н.

 

Допущена к защите «__»________201_г.

____________________/Ю. Н. Сопильняк

 

Дата защиты «__»______________201_г.

Оценка_____________________________

____________________/Ю. Н. Сопильняк

 

 

 

 

Краснодар 2012

 

Оглавление

Введение 3

1.Понятие информационной системы 5

1.1.Процессы в информационной  системе 5

1.2.Примеры информационных  систем 6

2.Безопасность информационных систем 8

2.1.Понятие информационной безопасности 8

2.2.Свойства информации 8

2.3.Классификация угроз 10

2.4.Вредоносное программное  обеспечение 13

3.Защита  информации 20

3.1.Основные методы и средства защиты информации 20

3.2.Основные виды защиты информации 21

3.3.Классификация схем защиты информационных систем 22

3.4.Основные принципы построения системы защиты 24

Заключение 28

Список использованных источников 30

 

 

 

 

 

 

Введение

Информационная система  современной организации или  предприятия является сложным образованием, построенным в многоуровневой архитектуре  клиент-сервер, которое пользуется многочисленными внешними серверами, а также предоставляет во вне собственные серверы.

Современные информационные системы сложны, а значит, опасны уже сами по себе, даже без учета  вмешательства злоумышленников. Постоянно  обнаруживаются новые ошибки и уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно  широкий спектр аппаратного и  программного обеспечения, многочисленные связи между компонентами.

Современное понимание информационной системы предполагает использование  в качестве основного технического средства переработки информации персонального  компьютера. В крупных организациях наряду с персональным компьютером  в состав технической базы информационной системы может входить мэйнфрейм или суперЭВМ. Кроме того, техническое воплощение информационной системы само по себе ничего не будет значить, если не учтена роль человека, для которого предназначена производимая информация и без которого невозможно ее получение и представление.

Высокие темпы развития информационных технологий делают весьма актуально  проблему защиты информации, ее пользователей, информационных ресурсов и каналов  передачи данных, а также требуют  постоянного совершенствования  механизмов защиты.

Целью курсовой работы является рассмотрение вопросов безопасности информационных систем, анализ угроз, а так же определение  методов защиты информации.

В соответствии с намеченной целью основными задачи будут  являться: определение основных понятий, изучение теоретических материалов по выбранной теме и выработка  рекомендаций по проектированию системы  защиты данных.

Объектом исследования является информационная система.

Предметом исследования является безопасность и защита информационной системы.

 

1.Понятие информационной системы

Информационная система - взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.

1.1.Процессы в информационной системе

Процессы, обеспечивающие работу информационной системы любого назначения, условно можно представить в  виде схемы, состоящей из блоков:

- ввод информации из  внешних или внутренних источников;

- обработка входной информации  и представление ее в удобном  виде;

- вывод информации для  представления потребителям или  передачи в другую систему;

- обратная связь - это  информация, переработанная людьми  данной организации для коррекции  входной информации.

Информационная система  определяется следующими свойствами:

- любая информационная  система может быть подвергнута  анализу, построена и управляема  на основе общих принципов  построения систем;

- информационная система  является динамичной и развивающейся;

- при построении информационной  системы необходимо использовать  системный подход;

- выходной продукцией  информационной системы является  информация, на основе которой  принимаются решения;

- информационную систему  следует воспринимать как человеко-компьютерную  систему обработки информации.

В настоящее время сложилось  мнение об информационной системе как  о системе, реализованной с помощью  компьютерной техники. Хотя в общем  случае информационную систему можно  понимать и в некомпьютерном варианте. Общая структура информационной системы представлена на рисунке 1.

Чтобы разобраться в работе информационной системы, необходимо понять суть проблем, которые она решает, а также организационные процессы, в которые она включена.

 

Обратная связь

Ввод информации

Вывод информации

Аппаратная и программная часть  информационной системы

Обработка информации

 

Персонал или другая ИС

 

 

 

 

 

 

Рисунок 1.Общая структура  информационной системы

 

Так, например, при определении  возможности компьютерной информационной системы для поддержки принятия решений следует учитывать

- структурированность решаемых  управленческих задач;

- уровень иерархии управления  фирмой, на котором решение должно  быть принято;

- принадлежность решаемой  задачи к той или иной функциональной  сфере бизнеса;

- вид используемой информационной  технологии.

1.2.Примеры информационных систем

Информационная система  по отысканию рыночных ниш. При покупке товаров в некоторых фирмах информационная система регистрирует данные о покупателе, что позволяет:

- определять группы покупателей,  их состав и запросы, а затем  ориентироваться в своей стратегии  на наиболее многочисленную группу;

- посылать потенциальным  покупателям различные предложения,  рекламу, напоминания;

- предоставлять постоянным  покупателям товары и услуги  в кредит, со скидкой, с отсрочкой  платежей.

Информационные системы, ускоряющие потоки товаров. Предположим, фирма специализируется на поставках продуктов в определенное учреждение, например в больницу. Как известно, иметь большие запасы продуктов на складах фирмы очень невыгодно, а не иметь их невозможно. Для того чтобы найти оптимальное решение этой проблемы, фирма устанавливает терминалы в обслуживаемом учреждении и подключает их к информационной системе. Заказчик прямо с терминала вводит свои пожелания по предоставляемому ему каталогу. Эти данные поступают в информационную систему по учету заказов.

Менеджеры, делая выборки  по поступившим заказам, принимают  оперативные управленческие решения  по доставке заказчику нужного товара за короткий промежуток времени. Таким  образом, экономятся огромные деньги на хранение товаров, ускоряется и упрощается поток товаров, отслеживаются потребности  покупателей.

Информационные системы  по снижению издержек производства. Эти информационные системы, отслеживая все фазы производственного процесса, способствуют улучшению управления и контроля, более рациональному планированию и использованию персонала и, как следствие, снижению себестоимости производимой продукции и услуг.

Информационные системы  автоматизации технологии ("менеджмент уступок"). Суть этой технологии состоит в том, что, если доход фирмы остается в рамках рентабельности, потребителю делаются разные скидки в зависимости от количества и длительности контрактов. В этом случае потребитель становится, заинтересован во взаимодействии с фирмой, а фирма тем самым привлекает дополнительное число клиентов. Если же клиент не желает взаимодействовать с данной фирмой и переходит на обслуживание к другой, то его затраты могут возрасти из-за потери предоставляемых ему ранее скидок.

2.Безопасность информационных систем

2.1.Понятие информационной безопасности

Словосочетание "информационная безопасность" в  разных контекстах может иметь различный смысл.

В Доктрине информационной безопасности Российской Федерации  термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Под информационной безопасностью понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Спектр интересов  субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

2.2.Свойства информации

Практически любая АС может  выступать в качестве объекта информационной атаки, которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Рассмотрим эти свойства более подробно.

Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью её дальнейшей перепродажи.

Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе.

Доступность информации определяется,  как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Так, например, злоумышленник сможет нарушить доступность Интернет-портала если ни один из легальных пользователей не сможет получить доступ к его содержимому. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации злоумышленник тем самым может нарушить бизнес-процессы компании, которые базируются на информационных ресурсах, которые являлись объектом атаки.

Для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определённую уязвимость АС. Под уязвимостью принято понимать слабое место АС, на основе которого возможна успешная реализация атаки. Примерами уязвимостей АС могут являться: некорректная конфигурация сетевых служб АС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др.

Если вернуться  к анализу интересов различных  категорий субъектов информационных отношений, то почти для всех, кто  реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность,  — какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальные моменты есть также у многих организаций (даже в бюджетных организациях стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

2.3.Классификация угроз

Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системой информации и приводит к ее случайному или предумышленному изменению или уничтожению.

Попытка реализации угрозы называется атакой, а тот, кто  предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего  угроза является следствием наличия  уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени  от момента, когда появляется возможность  использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым Местом. Пока существует окно опасности, возможны успешные атаки на ИС.