Методы и средства обеспечения информационной безопасности организации (фирмы).
Методы и средства обеспечения информационной безопасности организации (фирмы). - раздел Образование, Информация - сбор, защита, анализ. Методами Обеспечения Защиты Информации Являются Следующие: Препятствие, Уп...
Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).
Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:
· идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
· аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
· разрешение и создание условий работы в пределах установленного регламента;
· регистрацию (протоколирование) обращений к защищаемым ресурсам;
· реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка — метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия.
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.
Принуждение — такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.
Указанные выше методы обеспечения информационной безопасности организации (фирмы) реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.
Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.
Наряду с традиционными механическими системами при доминирующем участии человека разрабатываются и внедряются универсальные • автоматизированные электронные системы физической защиты, предназначенные для охраны территорий, охраны помещений, организации пропускного режима, организации наблюдения; системы пожарной сигнализации; системы предотвращения хищения носителей.
Элементную базу таких систем составляют различные датчики, сигналы от которых обрабатываются микропроцессорами, электронные интеллектуальные ключи, устройства определения биометрических характеристик человека и т. д.
Для организации охраны оборудования, входящего в состав автоматизированной информационной системы предприятия, и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) используются:
· различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы;
· микровыключатели, фиксирующие открывание или закрывание дверей и окон;
· инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку телевизионных антенн;
· специальные наклейки из фольги, которые наклеиваются на все документы, приборы, узлы и блоки системы для предотвращения их выноса из помещения. При любой попытке вынести за пределы помещения предмет с наклейкой специальная установка (аналог детектора металлических объектов), размещенная около выхода, подает сигнал тревоги;
· специальные сейфы и металлические шкафы для установки в них отдельных элементов автоматизированной информационной системы (файл-сервер, принтер и т. п.) и перемещаемых носителей информации.
Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия. При этом:
· экранирование рабочих помещений, где установлены компоненты автоматизированной информационной системы, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов;
· для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем;
· все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой;
· провода, наконечники, дроссели, конденсаторы и другие помехоподавляющие радио- и электроизделия;
· на водопроводных, отопительных, газовых и других металлических трубах помещают разделительные диэлектрические вставки, которые осуществляют разрыв электромагнитной цепи.
Для контроля электропитания используются электронные отслеживатели — устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует телевизионную камеру для последующей записи событий.
Для обнаружения внедренных «жучков» наиболее эффективным считается рентгеновское обследование. Однако реализация этого метода связана с большими организационными и техническими трудностями.
Применение специальных генераторов шумов для защиты от хищения информации с компьютеров путем съема ее излучений с экранов дисплеев оказывает неблагоприятное воздействие на организм человека, что приводит к быстрому облысению, снижению аппетита, головным болям, тошноте. Именно поэтому они достаточно редко применяются на практике.
Аппаратные средства защиты — это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками.
Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. д.
Основные функции аппаратных средств защиты:
· запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей автоматизированной информационной системе;
· запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных информационной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;
· защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением автоматизированной информационной системы;
· защита целостности программного обеспечения.
Эти задачи реализуются аппаратными средствами защиты информации с использованием метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация и реагирование).
Для работы с особо ценной информацией организации (фирмы) производители компьютеров могут изготавливать индивидуальные диски с уникальными физическими характеристиками, не позволяющими считывать информацию. При этом стоимость компьютера может возрасти в несколько раз.
Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.
Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.
В настоящее время создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства защиты информации.
С помощью программных средств защиты решаются следующие задачи информационной безопасности:
· контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);
· разграничение и контроль доступа субъектов к ресурсам и компонентам системы, внешним ресурсам;
· изоляция программ процесса, выполняемого в интересах конкретного субъекта, от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);
· управление потоками конфиденциальной информации с целью предотвращения записи на носители данных несоответствующего уровня (грифа) секретности;
· защита информации от компьютерных вирусов;
· стирание остаточной конфиденциальной информации в разблокированных после выполнения запросов полях оперативной памяти компьютера;
· стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания;
· обеспечение целостности информации путем введения избыточности данных;
· автоматический контроль над работой пользователей системы на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.
В настоящее время ряд операционных систем изначально содержит встроенные средства блокировки «повторного использования». Для других типов операционных систем существует достаточно много коммерческих программ, не говоря уже о специальных пакетах безопасности, реализующих аналогичные функции.
Применение избыточных данных направлено на предотвращение появления в данных случайных ошибок и выявление неавторизованных модификаций. Это может быть применение контрольных сумм, контроль данных на чет-нечет, помехоустойчивое кодирование и т. д.
Часто практикуется хранение в некотором защищенном месте системы сигнатур важных объектов системы. Например, для файла в качестве сигнатуры может быть использовано сочетание байта защиты файла с его именем, длиной и датой последней модификации. При каждом обращении к файлу или в случае возникновения подозрений текущие характеристики файла сравниваются с эталоном.
Свойство ревизуемости системы контроля доступа означает возможность реконструкции событий или процедур. Средства обеспечения ревизуемости должны выяснить, что же фактически случилось. Здесь речь идет о документировании исполняемых процедур, ведении журналов регистрации, а также о применении четких и недвусмысленных методов идентификации и проверки.
Следует отметить, что задачу контроля доступа при одновременном обеспечении целостности ресурсов надежно решает только шифрование информации.
Об авторе.
Игорь Николаевич Кузнецов родился 3 июля 1956 года в г. Молодечно. Окончил Донецкое высшее военно-политическое училище и педагогический факультет Московской военно-гуманитарной академии. В 1992
Логика процесса исследования.
Опираясь на систему методологических принципов, исследователь определяет:
— объект и предмет исследования;
— последовательность их решения;
— применяемые методы. Можно у
Методический замысел исследования и его основные этапы.
Замысел исследования— это основная идея, которая связывает воедино все структурные элементы методики, определяет порядок проведения исследования, его этапы.
В замысле исс
Формулировка гипотезы.
Уяснение конкретных задач осуществляется в творческом поиске частных проблем и вопросов исследования, без решения которых невозможно реализовать замысел, решить главную проблему.
В этих це
Этап II. Формулирование целей исследования.
Цели исследования выступают как достижение неких новых состояний в каком-либо звене исследовательского процесса или как качественно новое состояние — результат преодоления противоречия между дол
Этап III. Разработка гипотезы исследования.
Гипотеза исследования становится прообразом будущей теории в том случае, если последующим ходом работы она будет подтверждена. Поэтому при разработке гипотезы исследователь должен иметь в виду
Этап V. Вид преобразующего эксперимента и его организация.
Новый этап движения научного поиска наступает после сформулирования исследовательских задач. Должен быть представлен полный перечень существенных условий, как поддающихся регулированию, так и доп
Этап VI. Организация и проведение эксперимента.
Организация и проведение эксперимента начинается с испытательной проверки экспериментальной документации: исследовательских методик, вопросников, анкет, программ бесед, таблиц или матриц для рег
Этап VII. Обобщение и синтез экспериментальных данных.
На предшествующих этапах аналитическая стадия исследования закончилась. На этапе обобщения и синтеза экспериментальных данных начинается воссоздание целостного представления об исследуемом объект
Применение логических законов и правил.
Текст аналитической работы отличается от всякого другого прежде всего своей логичностью. Поэтому какие бы ошибки с точки зрения логики ни делали авторы диссертационных работ при описании хода иссл
Информационная работа.
Информация — это сведения о значимых фактах (лицах, действиях, организациях, событиях), которые служат основой для принятия решений о проведении административных, орган
Аналитическая работа.
Аналитическая работа — составная часть творческой деятельности. Она предназначена для оценки информации и подготовки принятия решений. Составляет основное содержание по
Основные этапы информационно-аналитической работы.
Этап 1. Общее знакомство с проблемой.Ознакомление с проблемой в целом, а также со смежными вопросами, изучение которых может оказаться полезным; составление общего плана работы с
Этап 3. Сбор фактов.
Этап 4. Истолкование фактов.Так кратко можно назвать процесс изучения и обработки фактов с целью выжать из них все, что они значат. Этот этап включает оценку, классификацию, анали
Аналогия как метод. От известного к неизвестному.
Аналогия — один из самых полезных методов информационной работы. Мы часто прибегаем к аналогии в нашей повседневной жизни.
Иногда нам не удается использовать вс
Проверка по аналогии.
Метод аналогии можно использовать в качестве эффективного средства проверки правильности выработанных методов оценки положения в стране.
В некоторых случаях, когда положение в иностранн
Планирование работы.
План— это схематически записанная совокупность коротко сформулированных мыслей-заголовков, это «скелет произведения». Примером плана к книге, правда очень общего, отмечающего ли
Достоинства плана.
Удачно составленный план прочитанной книги говорит в конечном итоге об умении анализировать текст, о степени усвоения его содержания.
Планимеет ряд достоинств, которые в
Начало работы.
План помогает активно читать источник, и нет смысла откладывать его составление до повторного чтения, как иногда советуют. Это ухудшило бы первоначальное восприятие материала
Способы работы.
Иногда в начале работы уже по характеру материала и целям составления плана видно, что он должен быть сложным, но порой это становится ясно не сразу, а лишь в ходе его написания.
Составля
Запись планов.
Чтобы избежать нерационального переписывания, главные заголовки сложного плана выделяют из подробного простого, подчеркивая часть пунктов. Если сделать этого нельзя, заголовки выписывают в отдель
Ограниченность применения.
Читателю полезно знать о тех недостатках плана, которые ограничивают применение этой формы записи как независимой.
План говорит лишь, о чем сказано в источнике, но не дает сведений о том,
Поиск информации.
Умственный труд в любой его форме всегда связан с поиском информации. Тот факт, что этот поиск становится сейчас все сложнее и сложнее, в доказательствах не нуждается. Усложняется сама система пои
Документальные источники информации.
Под «источником научной информации» понимается документ, содержащий какое-то сообщение, а отнюдь не библиотека или информационный орган, откуда он получен. Это часто путают. Документальные исто
Организация справочно-информационной деятельности.
Приступая к поиску необходимых сведений, следует четко представлять, где их можно найти и какие возможности в этом отношении имеют те организации, которые существуют для этой цели, — библиотеки и о
Каталоги и картотеки.
Каталоги и картотеки— это принадлежность любой библиотеки и справочно-информационных фондов бюро научно-технической информации. Под каталогом понимается перечень документа
Библиографические указатели.
Рост научной и технической литературы делает очень важной проблему «ключа» к ней. Таким ключом служат библиографические указатели — перечни литературы, составленные по тому или иному принципу. Биб
Последовательность поиска документальных источников информации.
При описании каталогов, картотек, библиографических указателей и информационных изданий все время подчеркивалось, насколько важно иметь исчерпывающее представление о всех их видах и стараться ис
Работа с книгой.
Умение работать с книгой — это умение правильно оценить произведение, быстро разобраться в его структуре, взять и зафиксировать в удобной форме все, что в нем оказалось ценным и нужным.
Техника чтения.
Одной из особенностей чтения специальной литературы является то, что оно протекает в определенной последовательности: сначала предварительное ознакомление с книгой и только после этого ее тщатель
Записи при чтении.
Чтение научной и специальной литературы, как правило, должно сопровождаться ведением записей. Это непременное условие, а не вопрос вкуса или привычки. Необходимость ведения записей в процессе чтен
Документ подготовлен не исследователем
Важная характеристика такого рода письменных документов состоит в том, что исследователь не осуществляет никакого контроля над способом составления документов и должен отбирать все, соответствующ
Предметы.
Аспекты их изучения. Предметы, которые изучают с такой тщательностью этнографы, следует рассматривать под различными углами зрения. С одной стороны, установлению уровня эволюции определенн
Иконография.
Она охватывает всю изобразительную документацию, кроме фотографий, то есть рисунки, гравюры, картины и т. д. Такая документация обладает большой ценностью в плане изучения прошлого, поскольку он
Кино, телевидение, радио, звукозаписи.
Среди трудностей, которые имеют место в процессе наблюдения в области наук, изучающих человека, можно указать на недостатки наших органов чувств и на отсутствие объективности у наблюдателя. С помощ
Разные методы.
Исторический метод ставит проблему валидности в трех аспектах:
· Подлинность текста и установление его автора. Исследователь должен быть уверен, что документ
Лингвистический метод
· За последние годы шагнул далеко вперед и еще не исчерпал всех своих возможностей. По времени возникновения он может быть отнесен к числу классических, однако его специфичность и особенности эволю
Контентный анализ.
Общие понятия.
Определение. Данные, которые нам представляют социальные науки, состоят в основном из сообщений — устных (тексты речей, записи бесед, разговоры) или письменных
Изучение коммуникации в рамках схемы «коммуникатор — реципиент».
В любом виде коммуникации существует коммуникатор, который отправляет сообщение, имеющее содержание и форму; такое сообщение передается с целью быть принятым, оно обращено к одному или многим рецип
Первая стадия — выбор категории.
Формулирование категорий. Категории являются значимыми рубриками, согласно которым квалифицируется, а возможно, и квантифицируется содержание. Поскольку речь идет о результатах анкетировани
Вторая стадия: вопросы квантификации содержания.
Цель анализа заключается в квантификации выбранных при помощи указанных категорий позиций по отношению к референдуму, содержащихся в разных рубриках газеты. Анализ осложнялся следующими обстоя
Тезисы.
Тезис— заключение трактата (что?). Тезис — сокращенно формулирует трактат снова (как?).
Тезис — для повторения (для чего?). Тезис в записи — это положение, вбирающее в себ
Основные, простые, сложные.
Основные тезисы — это принципиально важные, главные положения, обобщающие содержание источника, иногда в своей совокупности носящие характер главных выводов.
Из осн
Тезисы-цитаты.
Часть тезисов может быть записана в виде цитат. Этот метод применяют при написании рецензий и аннотаций для сравнения разных точек зрения, а также в тех случаях, когда необходима особая осторожнос
План, черновик и тезисы.
Предварительно составленный план оказывает существенную помощь в написании тезисов, в частности, в совершенствовании формулировок. Он выступает в роли черновика при написании тезисов. Его делают н
Конспекты.
Попросите тех, кто пишет конспекты, дать определение этой формы записи. Мало кто сформулирует верно.
Систематическая, логическая связная запись, объединяющая план, тезисы, выписки или, по
Кратко, но убедительно.
В отличие от тезисов, содержащих только основные положения, и выписок, которые отображают материал в любых соотношениях главного и второстепенного, конспекты при обязательной краткости содержат не
Рефераты.
Слово «реферат» в переводе с латинского буквально означает «пусть он доложит».
Рефератпри индивидуальной работе с литературой представляет собой краткую «обогаще
Текст записей.
Недаром говорят: порядок в записи — порядок в голове. Кроме очевидного влияния на логику изложения, организация текста влияет и на содержание записи и на удобство пользования ею. И все это, в кон
Источники информации.
Для решения любой проблемы требуется оптимальная информация. Однако то, что кому-то представляется информацией, прочими может восприниматься как никчемный и довольно-таки заурядный шум.
И
Взятие информации из документов.
Нужные сведения, находящиеся в некоторых документах, можно получить, либо раздобыв сам оригинал или его копию, либо ознакомившись с его содержанием по отдельным достоверным свидетельствам.
Принципы оценки и анализа информации.
Полученные разнообразными путями данные станут полезными лишь после того, как все они подвергнутся необходимому анализу и предельно точному истолкованию. Подоплека многих деловых неудач заключаетс
Безопасность информационной работы.
Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом. И напротив, ис
Информационная безопасность организации (учреждения).
Под безопасностью автоматизированной информационной системы организации (учреждения) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс функциониро
Элементы системы безопасности.
Уровень используемых мер страховки сильно зависит как от степени желаемой конспирации человека (или группы), так и от ситуации, среды и, разумеется, от возможностей самих страхующихся.
От
Внешняя безопасность
Различные неприятности могут возникнуть при общении с обычными людьми и госструктурами, но многое здесь можно предвидеть и избежать, используя банальный принцип трех «не»: не раздражать, не связы
Внутренняя безопасность.
Контакты в собственной среде нельзя рассматривать как гарантированно безопасные. Помните, что «наибольший вред обычно получается от двух условий: от разглашения тайны и доверия вероломным».
Локальная безопасность.
Лучшей гарантией успеха является обычно подстраховка, и потому любые действия желательно осуществлять с учетом всех возможных неприятностей со стороны противника или случайно подвернувшихся свиде
Использование телефона.
А. ОБЕСПЕЧЕНИЕ ЛИЧНОЙ БЕЗОПАСНОСТИ:
— стараться обговаривать время чужих и собственных звонков и ограничивать частоту контактов;
— не злоупотреблять беседами по собственному те
Организация встреч.
Уровень требуемых в конкретных случаях мер безопасности зависит от желаемой степени конспиративности контакта, от степени легальности его участников и возможного контроля его чужаками.
А.
Виды угроз информационным объектам.
Общая классификация угроз автоматизированной информационной системе объекта выглядит следующим образом:
· Угрозы конфиденциальности данных и программ. Реализуются при несан
Хотите получать на электронную почту самые свежие новости?
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Новости и инфо для студентов