Автор: Пользователь скрыл имя, 12 Апреля 2012 в 22:05, курсовая работа
Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
Защита автоматизированных систем должна предусматривать контроль эффективности средств защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем автоматизированных систем или контролирующими органами.
1. Вступление…………………………………………………………………………………………………….………3
2. Методы и средства защиты информации……………………………………………………..………5
3. Защита от несанкционированного доступа к информации…………………...................7
4. Защита компьютерных систем методами криптографии………………………………………7
5. Обеспечение информационной безопасности компьютерных систем…………………10
6. Критерии оценки безопасности информационных технологий в европейских странах…………………………………………………………………………………………………………………………12
7. Концепция защиты от несанкционированного доступа к информации……………….17
8. Вывод……………………………………………………………………………………………………………………….21
Использованная литература………………………………………………………………………………………23
Эффективность защиты признается неудовлетворительной, если выявляются слабые места, допускающие практическое использование, и эти слабости не исправляются до окончания процесса оценки.
Обратим внимание на то, что анализ
слабых мест производится в контексте
целей, декларируемых для объекта
оценки. Например, можно примириться
с наличием тайных каналов передачи
информации, если отсутствуют требования
к конфиденциальности. Далее, слабость
конкретного защитного
7.Концепция защиты от несанкционированного доступа к информации
Идейной основой набора руководящих документов является "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации". Концепция "излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.
В Концепции различаются понятия средств вычислительной техники (СВТ) и автоматизированной системы (АС), аналогично тому, как в Европейских Критериях проводится деление на продукты и системы.
Концепция предусматривает существование
двух относительно самостоятельных
и, следовательно, имеющих отличие
направлений в проблеме защиты информации
от несанкционированного доступа. Это
- направление, связанное со средствами
вычислительной техники, и направление,
связанное с
Отличие двух направлений порождено
тем, что средства вычислительной техники
разрабатываются и поставляются
на рынок лишь как элементы, из которых
в дальнейшем строятся функционально
ориентированные
Помимо пользовательской информации при создании автоматизированных систем появляются такие отсутствующие при разработке средств вычислительной техники характеристики автоматизированных систем, как полномочия пользователей, модель нарушителя, технология обработки информации.
Существуют различные способы покушения на информационную безопасность - радиотехнические, акустические, программные и т.п. Среди них несанкционированный доступ выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средств вычислительной техники или автоматизированных систем. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
В Концепции формулируются
Защита средств вычислительной
техники обеспечивается комплексом
программно-технических
Защита автоматизированных систем обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
Защита автоматизированных систем должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
Программно-технические
Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
Защита автоматизированных систем должна предусматривать контроль эффективности средств защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем автоматизированных систем или контролирующими органами.
Концепция ориентируется на физически
защищенную среду, проникновение в
которую посторонних лиц
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами автоматизированных систем и средствами вычислительной техники. Выделяется четыре уровня этих возможностей.
Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.
· Первый уровень определяет самый
низкий уровень возможностей ведения
диалога в автоматизированных системах
- запуск задач (программ) из фиксированного
набора, реализующих заранее
· Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
· Третий уровень определяется возможностью
управления функционированием
· Четвертый уровень определяется
всем объемом возможностей лиц, осуществляющих
проектирование, реализацию и ремонт
технических средств
В своем уровне нарушитель является специалистом высшей квалификации, знает все об автоматизированных системах и, в частности, о системе и средствах ее защиты.
В качестве главного средства защиты
от несанкционированного доступа к
информации в Концепции рассматривается
система разграничения доступа (СРД)
субъектов к объектам доступа. Основными
функциями системы
· реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;
· реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;
· изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
· управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
· реализация правил обмена данными между субъектами для автоматизированных систем и средств вычислительной техники, построенных по сетевым принципам.
Кроме того, Концепция предусматривает наличие обеспечивающих средств для системы разграничения доступа, которые выполняют следующие функции:
· идентификацию и опознание (аутентификацию)
субъектов и поддержание
· регистрацию действий субъекта и его процесса;
· предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
· реакцию на попытки несанкционированного доступа, например, сигнализацию, блокировку, восстановление после несанкционированного доступа;
· тестирование;
· очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
· учет выходных печатных и графических
форм и твердых копий в
· контроль целостности программной и информационной части как системы разграничения доступа, так и обеспечивающих ее средств.
Технические средства защиты от несанкционированного доступа, согласно Концепции, должны оцениваться по следующим основным параметрам:
· степень полноты охвата правил разграничения доступа реализованной системы разграничения доступа и ее качество;
· состав и качество обеспечивающих средств для системы разграничения доступа;
· гарантии правильности функционирования системы разграничения доступа и обеспечивающих ее средств.
8.Вывод
В современных компьютерных системах используются криптографические системы. Процесс криптографического закрытия данных может выполняться как программно, так и аппаратно.
В то время, когда вычислительной мощности для полного перебора всех паролей не хватало, хакерами был придуман остроумный метод, основанный на том, что в качестве пароля человеком обычно выбирается существующее слово или информация о себе или знакомых (имя, дата рождения и т.д.). Поскольку в любом языке не более 100 000 слов, то их перебор займет весьма небольшое время, то от 40 до 80% существующих паролей может быть угадано с помощью такой схемы, называемой «атакой по словарю». До 80% паролей может быть угадано с использованием словаря размером всего 1 000 слов.
С 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий». Активность организаций по стандартизации ведущих государств, реально произошедшие изменения во взглядах специалистов к проблеме информационной безопасности и явились предостережением, что Украина может упустить реальный шанс вовремя освоить новейшее технологическое обеспечение информационной безопасности.
Актуальность решения задачи гармонизации отечественной нормативной базы с международными стандартами, а также вопросов применения международных стандартов в отечественной практике очень велика.
В мире произошло переосмысление подходов к решению проблемы обеспечения информационной безопасности. С момента принятия международного стандарта ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности.
Одновременно с трансформацией взглядов на процессы обработки происходит и изменение взглядов на подходы к обеспечению безопасности информации. Широкая сфера применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности перестала удовлетворять как потребителя ИТ-систем, так и их разработчика.
Следуя по пути интеграции, Европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC). Версия 1.2 этих Критериев опубликована в июне 1991 года от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех - и для производителей, и для потребителей, и для самих органов сертификации.
Европейские Критерии рассматривают такие составляющие информационной безопасности как конфедициальность, целостность и доступность.
Использованная литература:
В.Е. Ходаков, Н.В. Пилипенко, Н.А. Соколова / Под ред. В.Е. Ходакова. Введение в компьютерные науки: Учеб. пособ. - Херсон: Издательство ХГТУ - 2004.
Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - М.: Энергоиздат, .
Мельников В.В. «Защита информации в компьютерных системах». - М.: «Финансы и статистика», .
Информация о работе Защита информации в автоматизированных системах обработки данных