Автор: Пользователь скрыл имя, 24 Февраля 2013 в 20:20, курсовая работа
Цель исследования: определить существует ли в природе система, которая защитит информацию от взлома.
Задачи исследования:
• Определить, защищенность информации от взлома.
• Выявить проблемы информационной безопасности.
Введение
Глава 1 Теоретическое исследование
1.1. История и Государственная политика в области информационной безопасности
1.2. Проблемы информационной безопасности и борьба с терроризмом. Угрозы и их показатели.
1.3. Методика реализации политики безопасности
1.4. Стандарты безопасности Гостехкомиссии. Стандарты Европы и США
1.5. Стеганография и ее применение в информационной безопасности
1.6. Классы информационной безопасности
1.7. Информационная безопасность Российской Федерации
Приложение
Вывод
Литература
Информационная безопасность Российской Федерации затрагивает все сферы общественной жизни.
1.4. Стандарты безопасности Гостехкомиссии. Стандарты Европы и США
РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"
РД "АС. Защита от НСД к
информации. Классификация АС и требования
по защите информации" устанавливает
классификацию
· наличие в АС информации различного уровня конфиденциальности;
· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
· режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов
защищенности АС от НСД к информации.
Каждый класс характеризуется
РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"
При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
· Управление доступом;
· Идентификация и
· Регистрация событий и оповещение;
· Контроль целостности;
· Восстановление работоспособности.
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
· Простейшие фильтрующие маршрутизаторы - 5 класс;
· Пакетные фильтры сетевого уровня - 4 класс;
· Простейшие МЭ прикладного уровня - 3 класс;
· МЭ базового уровня - 2 класс;
· Продвинутые МЭ - 1 класс.
МЭ первого класса защищенности
могут использоваться в АС класса
1А, обрабатывающих информацию "Особой
важности". Второму классу защищенности
МЭ соответствует класс
Также к стандартам России в области информационной безопасности относятся:
· Гост 28147-89 – блочный шифр с 256-битным ключом;
· Гост Р 34.11-94 –функция хэширования;
· Гост Р 34.10-94 –алгоритм цифровой подписи.
Существует много защит информационной безопасности.
Европейские стандарты безопасности
ISO 15408: Common Criteria for Information Technology Security Evaluation
Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.
Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).
Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.
Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:
· Наличие побочных каналов утечки информации;
· Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
· Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
· Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.
ISO 17799: Code of Practice for Information Security Management
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.
ISO 17799 содержит практические
правила по управлению
Практические правила разбиты на следующие 10 разделов:
· Политика безопасности;
· Организация защиты;
· Классификация ресурсов и их контроль;
· Безопасность персонала;
· Физическая безопасность;
· Администрирование компьютерных систем и вычислительных сетей;
· Управление доступом;
· Разработка и сопровождение информационных систем;
· Планирование бесперебойной работы организации;
· Контроль выполнения требований политики безопасности.
В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.
Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.
Ключевыми являются следующие средства контроля:
· Документ о политике информационной безопасности;
· Распределение обязанностей по обеспечению информационной безопасности;
· Обучение и подготовка персонала к поддержанию режима информационной безопасности;
· Уведомление о случаях нарушения защиты;
· Средства защиты от вирусов;
· Планирование бесперебойной работы организации;
· Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
· Защита документации организации;
· Защита данных;
· Контроль соответствия политике безопасности.
Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.
Стандарты безопасности США
"Оранжевая книга "
"Department of Defense Trusted Computer System Evaluation Criteria"
OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное
название документа "Department of Defense Trusted Computer System Evaluation Criteria".
OK предназначается для следующих целей:
· Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
· Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
· Обеспечить базу для исследования требований к выбору защищенных систем.
Рассматривают два типа оценки:
· без учета среды, в которой работает техника;
· в конкретной среде (эта процедура называется аттестованием).
Во всех документах DOD, связанных
с ОК, принято одно понимание фразы
обеспечение безопасности информации.
Это понимание принимается как
аксиома и формулируется
Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.
1. Класс (D): Минимальная защита
2. Класс (C1): Защита, основанная на разграничении доступа (DAC)
3. Класс (С2): Защита, основанная
на управляемом контроле
4. Класс(B1): Мандатная защита,
основанная на присваивании
5. Класс (B2): Структурированная защита
6. Класс (ВЗ): Домены безопасности
7. Класс (A1): Верифицированный проект
FIPS 140-2 "Требования безопасности для криптографических модулей"
В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.
В стандарте FIPS 140-2 рассматриваются
криптографические модули, предназначенные
для защиты информации ограниченного
доступа, не являющейся секретной. То есть
речь идет о промышленных изделиях,
представляющих интерес для основной
массы организаций. Наличие подобного
модуля — необходимое условие
обеспечения защищенности сколько-нибудь
развитой информационной системы; однако,
чтобы выполнять
Стандарт шифрования DES
Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.
Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.
1.5. Стеганография
и ее применение в
Задача надежной защиты информации от несанкционированного доступа является одной из древнейших и не решенных до настоящего времени проблем. Способы и методы скрытия секретных сообщений известны с давних времен, причем, данная сфера человеческой деятельности получила название стеганография. Это слово происходит от греческих слов steganos (секрет, тайна) и graphy (запись) и, таким образом, означает буквально “тайнопись”, хотя методы стеганографии появились, вероятно, раньше, чем появилась сама письменность (первоначально использовались условные знаки и обозначения).
Компьютерные технологии
придали новый импульс развитию
и совершенствованию
Информация о работе История и государственная политика в области информационной безопасности