Введение в информационную безопасность

Министерство общего и профессионального образования Российской Федерации Санкт-Петербургская Государственная инженерно-экономическая академия Институт информационных систем в экономике и управлении РЕФЕРАТ на тему Введение в информационную безопасность по дисциплине Региональный мониторинг Выполнил Скачков А. Ю.Проверил Ивановский Л.В. г. Санкт-Петербург 2000 год Содержание Содержание 2 Введение в информационную безопасность 3 Компьютеры преступления, признаки уязвимости и меры защиты 3 Введение 3 Меры защиты четыре уровня защиты 4 Компьютерным преступником может быть любой 4 Почему люди совершают компьютерные преступления 4 Признаки компьютерных преступлений 5 Информационная безопасность 6 Меры защиты информационной безопасности 8 Физическая безопасность 11 Традиционная безопасность замки, ограждение и охрана 11 Преступления и злоупотребления 11 Признаки 11 Меры физической безопасности 12 Intranet 15 Законодательный уровень 15 Разработка сетевых аспектов политики безопасности 16 Процедурные меры 17 Управление доступом путем фильтрации информации 17 Безопасность программной среды 19 Защита web-серверов 20 Аутентификация в открытых сетях 20 Виртуальные частные сети 20 Простота и однородность архитектуры 21 Заключение 21 Как защитить информацию 22 Несчастный случай 23 Источники бесперебойного питания 24 Выбор надежного оборудования 24 Выбор программного обеспечения 24 Восстановление бизнеса после бедствия 25 Резервное копирование 25 Резервирование каналов связи 25 Дублирование, мультиплексирование и резервные офисы 26 Несанкционированный доступ к системе 26 Защита от злоумышленника 27 Защита данных от перехвата 28 Человеческий фактор и безопасность 30 Универсальные черты корпоративной культуры безопасности 30 Безопасность персонала 30 Человеческий фактор 31 Способы принятия решений 31 Литература 33 Введение Информационная Эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий.

Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист.

Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел. Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией.

Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных.

Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным.

Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики.

И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем. И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Целью этого документа является дать основы компьютерной безопасности для низшего звена управления, то есть для начальников отделов, руководителей групп и т.п. При ограблении банка потери в среднем составляют 19 тысяч долларов, а при компьютерном преступлении - 560 тысяч долларов Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год и составляет около 3.5 миллиардов долларов. Одной из причин является сумма денег, получаемая в результате преступления в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов.

Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у него меньше шансов попасть в тюрьму.

Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того, что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов. Умышленные компьютерные преступления составляют заметную часть преступлений. Но злоупотреблений компьютерами и ошибок еще больше. Как выразился один эксперт, мы теряем из-за ошибок больше денег, чем могли бы украсть. Эти потери подчеркивают важность и серьезность убытков, связанных с компьютерами. Основной причиной наличия потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.

Только наличие некоторых знаний в области безопасности может прекратить инциденты и ошибки, обеспечить эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить подозреваемого. Осведомленность конечного пользователя о мерах безопасности обеспечивает четыре уровня защиты компьютерных и информационных ресурсов

Меры защиты четыре уровня защиты

Предотвращение - только авторизованный персонал имеет доступ к информа... Хороший контроль за информацией требует понимания возможностей соверше... Когда компьютеры впервые появились, они были доступны только небольшом... Компьютерные терминалы и настольные компьютеры используются везде. Компьютерное оборудование стало дружественным к пользователю, поэтому ...

Компьютерным преступником может быть любой

Типичный компьютерный преступник - это не молодой хакер, использующий ... Компьютерным преступником может быть любой. Остальные 20 процентов дают действия нечестных и недовольных сотрудник... И совершаются они по целому ряду причин..

Почему люди совершают компьютерные преступления

Опросы, проводимые периодически в США, показывают, что именно служащие... Почему люди совершают компьютерные преступления. личная или финансовая выгода развлечение месть попытка добиться распол...

Признаки компьютерных преступлений

Некоторые же выполняются людьми и являются реализацией указаний руково... Только в 3 процентах мошенничеств и 8 процентах злоупотреблений происх... Люк. Этот метод основан на использовании скрытого программного или аппаратн... 5.

Меры защиты информационной безопасности

Физическая безопасностьТрадиционная безопасность замки, ограждение и о... Диски и ленты могут быть разрушены разлитыми напитками, а компьютеры з... Правила работы могут включать работу в безопасном помещении, учет доку... Но электромагнитные излучения от компьютеров могут быть перехвачены и ... Следите и учитывайте в журналах ремонт техники.

Законодательный уровень

В разделе IX Преступления против общественной безопасности имеется гла... Законодательный уровень. Это принципиально важный документ, позволяющий упорядочить использован... В настоящее время наиболее подробным законодательным документом в обла... Весьма энергичную работу в области современных информационных технолог...

Разработка сетевых аспектов политики безопасности

Злоумышленник не будет бороться против силы, он предпочтет легкую побе... Образно говоря, если в крепости механизм подъемного моста ломается, мо... Очень важен принцип простоты и управляемости информационной системы в ... При оценке рисков, которым подвержены Intranet-системы, нужно учитыват... В больших организациях слой публикатор редактор может состоять из неск...

Управление доступом путем фильтрации информации

Наконец, в универсальной многопользовательской системе бреши в безопас... 3 . Межсетевые экраны также целесообразно классифицировать по тому, на как... При выполнении централизованного администрирования следует еще позабот... В этом смысле Web-интерфейс обладает естественной защитой, особенно в ...

Безопасность программной среды

Речь идет о среде Safe-Tcl Tool Comman Language, инструментальный кома... Исходные тексты Java-компилятора и интерпретатора доступны для проверк... Подобная модель уже около 30 лет является стандартной для многопользов... . Прежде всего, необходимо определить, какие действия считаются для таки...

Защита web-серверов

Такого рода дополнительные возможности целесообразно отключать, поскол... Для раннего выявления попыток нелегального проникновения в Web-сервер ... Могут предоставляться права на чтение HTML-файлов, выполнение CGI-проц... Все ненужные сервисы, файлы, устройства должны быть удалены. За этими локаторами могут стоять различные сущности - HTML-файлы, CGI-...

Аутентификация в открытых сетях

Аутентификация в открытых сетях. Нетрудно заметить, что перехват и последующее воспроизведение одноразо... Субъект демонстрирует обладание программным или аппаратным средством г... Суть их сводится к следующему. Субъект демонстрирует знание секретного... Методы, применяемые в открытых сетях для подтверждения и проверки подл...

Виртуальные частные сети

Открытые каналы могут быть надежно защищены лишь одним методом - крипт... Любопытно упомянуть, что в мирное время 95 трафика Министерства оборон... В военное время эта доля должна составлять лишь 70 . Одной из важнейших задач является защита потоков корпоративных данных,... В остальном вся сеть выглядит как единое целое, а от абонентов не треб...

Простота и однородность архитектуры

Технология Intranet за счет простоты и однородности архитектуры позвол... Обслуживание и администрирование клиентских рабочих мест - занятие чре... Это позволяет иметь единый механизм регистрации пользователей и наделе... Наиболее остро проблема управляемости встает на клиентских рабочих мес... На стыке клиентской и серверной частей Intranet-системы находится Web-...

Заключение

Заключение Задача обеспечения информационной безопасности в Intranet оказывается более простой, чем в случае произвольных распределенных систем, построенных в архитектуре клиент сервер. Причина тому - однородность и простота архитектуры Intranet. Если разработчики прикладных систем сумеют в полной мере воспользоваться этим преимуществом, то на программно-техническом уровне им будет достаточно нескольких недорогих и простых в освоении продуктов.

Правда, к этому необходимо присовокупить продуманную политику безопасности и целостный набор мер процедурного уровня.

Как защитить информацию

Последнее, кстати, представляет наибольшую опасность для компаний. Что... предложил Центральному банку ЦБ принять меры по отношению к коммерческ... Должности системного администратора в большей степени соответствует др... Источники бесперебойного питанияКомпьютерная система энергоемка, и пот... Из-за своей высокой стоимости она не получила в нашей стране широкого ...

Выбор программного обеспечения

. Помимо потенциальной несовместимости, последние имеют еще один недоста... Набор оборудования, связанного коммуникационными линиями, превращается... Многообразие периферийных устройств усложняет организацию обращения к ... Большинство бизнес-приложений сертифицированы для работы с популярными...

Восстановление бизнеса после бедствия

Резервное копированиеОдним из ключевых моментов, обеспечивающих восста... Поскольку носитель используется многократно, нужно знать стандарты на ... Выбор надежного оборудования и ПО позволяет до определенной степени пр... Несмотря на очевидность этой процедуры и ее относительную несложность,... Резервное копирование должно сопровождаться целым рядом не менее очеви...

Резервирование каналов связи

Один из серверов кластера может функционировать в режиме горячего резе... Некоторую защиту от несанкционированного доступа предоставляют штатные... В конце 1995 г. По мере того как компании все больше и больше обращаются к Internet, и... Таким образом государство ограничивает доступ зарубежных компаний на р...

Защита от злоумышленника

Защита от злоумышленника. Западная статистика показывает, что, как правило, проникновению злоумы... Кроме того, технические меры необходимо дополнять рядом организационно... Если обновление не было вовремя произведено, вероятность взлома систем... Только сообщить об этом руководству он, скорее всего, забыл.

Защита данных от перехватаС помощью вышеперечисленных способов защиты можно предотвратить несанкционированное обращение к приложению или базе данных.

Но информация, как известно, передается по сети прослушивая канал связи, ее удается перехватить. ФАПСИ разделяет коммуникации на три класса. Первый охватывает локальные сети, расположенные в так называемой зоне безопасности территории с ограниченным доступом и заэкранированным электронным оборудованием и коммуникационными линиями и не имеющие выходов в каналы связи за ее пределами.

Ко второму классу относятся каналы связи вне зоны безопасности, защищенные организационно-техническими мерами например, оптоволоконный кабель, а к третьему - незащищенные каналы связи общего пользования. Применение коммуникаций второго класса значительно снижает вероятность перехвата данных. Для защиты информации во внешнем канале связи используются следующие устройства скремблеры при защите речевой информации, передаваемой по обычным телефонным каналам связи в режиме точка-точка, шифраторы дешифраторы для широковещательной связи и криптографические средства, обеспечивающие шифрование передаваемого пакета.

Однако их применение сопряжено с получением лицензий, что не всегда удается организовать оперативно. Поэтому интеграторы используют открытые для свободной эксплуатации средства, затрудняющие интерпретацию перехваченного пакета. Например, компания ЛВС предлагает туннелировать данные из одного сетевого протокола в другой. Столь изощренные способы проникновения в информационную систему, как контроль излучения монитора, в России маловероятны, поскольку требуют оснащения на уровне технической разведки.

Вероятно, российские корпоративные сети еще не хранят столь ценную информацию, чтобы заинтересовать подобные структуры. Защита информационной системы представляет собой комплекс дорогих технических средств и организационных мероприятий. По оценкам фирмы АйТи, некоторые банки тратят на обеспечение сохранности информации до 30 стоимости всей компьютерной системы.

В эту сумму не входят расходы на повышение квалификации системного администратора или менеджера по безопасности, во многом и определяющей надежность системы защиты. Разнообразные учебные центры предлагают достаточно длинный список курсов по администрированию тех или иных средств. Авторы затрудняются выделить среди них учебный цикл, в котором акцент делается на выбор, конфигурирование и управление средствами безопасности. Тем большее значение имеет взаимодействие заказчика с системным интегратором с целью обучения и последующего консультирования его персонала.

Человеческий фактор и безопасность Техническое развитие человечества сопровождается передачей человеку все большего числа управляющих функций, позволяя ему все больше отдаляться от орудий труда и превращаться из исполняющего в управляющий орган системы производства. Такая трансформация роли человека приводит к замене физического труда умственным, снижая необходимость мышечной работы и соответствующих энергозатрат.

Однако при этом значительно возрастает нагрузка на психику человека, которому приходится решать задачи оценки и прогнозирования эффективности работы оборудования и других людей, надежного взаимодействия с различными элементами социотехнической системы - производственного механизма. Согласно статистике, более половины аварий в социотехнических системах в авиации до 90 происшествий связаны с человеческим фактором - из-за возрастания концентрации управляемой мощности в руках одного человека. n грамотное обеспечение эргономических требований увеличивает производительность на 100 . n хорошее освещение рабочего места увеличивает производительность труда на 20 . n снижение шума до гигиенических норм повышает производительность труда на 40-50 , а продуманное

Введение

Введение музыки - на 12-14 . n оптимальная окраска помещений и оборудования повышает производительность на 25 и снижает непроизводительные потери рабочего времени на 32 . Аварии приводят к значительным человеческим и экономическим потерям.

Однако не только такие фатально-летальные события сопровождают технический прогресс информационного общества.

Тихие события, происходящие в банках, управленческих офисах, могут приводить к катастрофам и глобального масштаба, так как информационное пространство уже не локализовано в одном помещении, одном учреждении и даже одной стране. Утечка конфиденциальной информации о деятельности предприятия целенаправленная или непроизвольная либо уход ведущих специалистов могут небольшую компанию привести к гибели.

Универсальные черты корпоративной культуры безопасности

Все понимают, что носить пятипудовые мешки по силам далеко не каждому. К сожалению, не всем известно, что работать с интенсивными потоками ин... Хендрика США разделяет большинство других специалистов. Но почему в та... Каждый управляет системами ежедневно автомобилем, компьютером, ТВ, соц... Это порождает иллюзию знания человеческого фактора, хотя в действитель...

Способы принятия решений

Инновационный Проблемы этого типа наиболее сложны, ведь они требуют ос... Могут возникать и другие препятствия, преодоление которых потребует со... Подобные решения дают ответ на проблемы, которые могли существовать и ... Здесь руководитель оценивает достоинства целого круга возможых решений... Aдаптационный На этом уровне встречаются дополнительные трудности, пос...

Литература

Литература 1. Медведовский И.Д Семьянов П.В Леонов Д.Г. Атака на интернет 2. Издательского дома Открытые Системы Lan Magazine Журнал сетевых решений, 1996, том 2, 7 3. Издательского дома Открытые Системы Сети, 1997, 8 4. Office N5 1999 Александр Буров Человеческий фактор и безопасность.