Информационная безопасность

39

ФГОУ ВПО «Рязанский государственный агротехнологический университет им. П.А.Костычева»

Кафедра «Информационные технологии в экономике»

КУРСОВАЯ РАБОТА

по дисциплине «Информатика»

на тему:

«Информационная безопасность»

Выполнил: студент 1 курса

специальности  «финансы и

кредит»

группы №11

Свиридова О.О.

Проверил: Шашкова С.И.

Рязань, 2010 г.

Содержание

Введение

Глава 1. Концепция информационной безопасности

1.1.           Задачи информационной безопасности

1.2.           Основные концептуальные положения системы защиты информации

1.3.           Концептуальная модель информационной безопасности

Глава 2. Управленческие меры обеспечения информационной безопасности

2.1. Политика безопасности

Глава 3. Способы защиты информации

3.1. Общие положения

3.2. Характеристика защитных действий

Глава 4. Перспективы и тенденции развития безопасности информации

Выводы и предложения

Список использованной литературы

Практическое задание

ВВЕДЕНИЕ

Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество, и, которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики. Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (время-деньги!!!) производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.

В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".

Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита. Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики.

КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

"Информационная безопасность - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств" (Закон РФ "Об участии в международном информационном обмене").

Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.

Понятие "информация" сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно ни использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается, каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики информации - информационным веком.

Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.

С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект.

С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.

Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.

1.1    Задачи информационной безопасности

Так с чем же имеет дело информационная безопасность? Рассмотрим основные цели и задачи, решение которых она должна обеспечить.

      секретность

      целостность

      идентификация

      аутентификация

      уполномочивание

      контроль доступа

      право собственности

      сертификация

      неотказуемость

      датирование

      расписка в получении

      анонимность

      свидетельствование

      подтверждение о ратификации

Рассмотрим каждую из перечисленных задач подробнее.

Секретность информации – одна из самых востребованных задач защиты. Практически у каждого человека или организации найдутся документы, которые ни в коем случае не должны стать всеобщим достоянием, будь то личные медицинские данные, информация о финансовых операциях или государственная тайна. Пока для хранения используются неэлектронные средства (бумага, фотопленка), секретность обеспечивается административными методами  (хранение  в сейфах, транспортировка в сопровождении охраны и т. д.). Но когда информация обрабатывается на  компьютерах и передается по открытым каналам связи, административные методы оказываются бессильны  и на помощь приходят методы информационной безопасности. Задача обеспечения секретности, фактически, сводится к тому, чтобы сделать возможным хранение и передачу данных в таком виде, чтобы противник, даже получив доступ к носителю или среде передачи, не смог получить сами защищенные данные.

Целостность информации еще одна очень важная задача. В процессе обработки и передачи по каналам связи данные могут быть искажены, как случайно, так и преднамеренно. Также информация может быть изменена прямо на носителе, где она хранится. Проверка целостности просто необходима в ситуациях, когда интерпретация неправильных данных может привести к очень серьезным последствиям, например при возникновении ошибки в сумме банковского перевода или значении скорости самолета, заходящего на посадку. Обеспечение целостности (контроль целостности) заключается в том, чтобы позволить либо утверждать, что данные не были модифицированы при хранении и передаче, либо определить факт искажения данных. То есть никакое изменение данных не должно пройти незамеченным.

Идентификация необходима для того, чтобы отождествить пользователя с некоторым уникальным идентификатором. После этого ответственность за все действия, при выполнении которых предъявлялся данный идентификатор, возлагается на пользователя, за которым этот идентификатор закреплен.

Аутентификация является необходимым дополнением к идентификации и предназначена для подтверждения истинности (аутентичности) пользователя, предъявившего идентификатор. Неанонимный пользователь должен получить возможность работать только после успешной аутентификации.
Уполномочивание сводится к тому, что ни один пользователь не должен получить доступ к системе без успешного выполнения идентификации и последующей аутентификации и ни один пользователь не должен получить доступ к ресурсам, если он не уполномочен на такие действия специальным разрешением.

Контроль доступа- комплексное понятие, обозначающее совокупность методов и средств, предназначенных для ограничения доступа к ресурсам.
Доступ должны иметь только уполномоченные пользователи, и попытки доступа должны протоколироваться.
Право собственности используется для того, чтобы предоставить пользователю законное право на использование некоторого ресурса и, при желании, возможность передачи этого ресурса в собственность другому пользователю. Право собственности обычно является составной частью системы контроля доступа.

Сертификация - процесс подтверждения некоторого факта стороной, которой пользователь доверяет. Чаще всего сертификация используется для удостоверения принадлежности открытого ключа конкретному пользователю или компании, т. к. эффективное использование инфраструктуры открытых ключей возможно лишь при наличии системы сертификации. Организации, занимающиеся выдачей сертификатов, называются удостоверяющими центрами.

Подпись позволяет получателю документа доказать, что данный документ был подписан именно отправителем. При этом подпись не может быть перенесена на другой документ, отправитель не может отказаться от своей подписи, любое изменение документа приведет к нарушению подписи, и любой пользователь, при желании, может самостоятельно убедиться в подлинности подписи.
Неотказуемость — свойство схемы информационного обмена, при котором существует доказательство, которое получатель сообщения способен предъявить третьей стороне, чтобы та смогла независимо проверить, кто является отправителем сообщения. То есть отправитель сообщения не имеет возможности отказаться от авторства, т. к. существуют математические доказательства того, что никто кроме него не способен создать такое сообщение.

Расписка в получении передается от получателя к отправителю и может впоследствии быть использована отправителем для доказательства того, что переданная информация была доставлена получателю не позже определенного момента, указанного в расписке.

Датирование часто применяется совместно с подписью и позволяет зафиксировать момент подписания документа. Это может быть полезно, например, для доказательства первенства, если один документ был подписан несколькими пользователями, каждый из которых утверждает, что именно он является автором документа. Кроме этого датирование широко используется в сертификатах, которые имеют ограниченный срок действия. Если действительный сертификат был использован для подписи, а затем соответствующей службой сертифицирующего центра была проставлена метка времени, то такая подпись должна признаваться правильной и после выхода сертификата из употребления. Если же отметка времени отсутствует, то после истечения срока действия сертификата подпись не может быть признана корректной.

Аннулирование используется для отмены действия сертификатов, полномочий или подписей. Если какой-либо участник информационного обмена или принадлежащие ему ключи и сертификаты оказались скомпрометированы, необходимо предотвратить доступ этого пользователя к ресурсам и отказать в доверии соответствующим сертификатам, т. к. ими могли воспользоваться злоумышленники. Также процедура аннулирования может быть использована в отношении удостоверяющего центра.

Свидетельствование- удостоверение (подтверждение) факта создания или существования информацией некоторой стороной, не являющейся создателем.

Анонимность довольно редко вспоминаемая задача. Сильным мира сего — правительствам и корпорациям — не выгодно, чтобы пользователь мог остаться анонимным при совершении каких-либо действий в информационном пространстве. Возможно, по этой причине проекты по обеспечению анонимности носят единичный характер и, как правило, долго не живут. Да и средства коммуникации, в подавляющем большинстве, позволяют определить маршрут передачи того или иного сообщения, а значит, вычислить отправителя.

Все перечисленные задачи сформулированы, исходя из потребностей существующего информационного мира. Возможно, со временем часть задач потеряет свою актуальность, но более вероятно, что появятся новые задачи, нуждающиеся в решении.

1.2 Основные концептуальные положения системы защиты информации

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.