Средства обеспечения системы защиты информации

 

Содержание

Введение

. Аналитическая часть

.1 Понятие информационной безопасности

.2 Понятие политики безопасности

.3 Современные средства физической, аппаратной и программной защиты информации

.4 Постановка целей защиты информации

. Проектная часть

2.1 Выбор модели защиты информации в локальном домашнем компьютере

.2 Физические меры защиты информации в локальном офисном компьютере

.3 Аппаратные меры защиты информации в локальном офисном компьютере

2.4 Программные меры защиты информации в локальном офисном компьютере

.5 Организационное обеспечение

Заключение

Библиографический список

Введение

Современный этап развития цивилизации, государств и обществ с полным основанием можно назвать информационным. Он характеризуется неуклонно возрастающей ролью информационной сферы, которая представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. В этих условиях информационные ресурсы, содержащие сведения, имеющие отношение к обеспечению информационной безопасности, включая безопасность национальную, зачастую становятся объектами противоправных посягательств. Посягательства на целостность и конфиденциальность информации происходят как уровне физических лиц, являющихся пользователями информационных ресурсов, так и на уровне различных организационных структур и даже государств. Не случайно сегодня вновь широкое распространение и острую актуальность получил тезис, высказанный когда-то масонами - о том, что владеющий информацией владеет миром.

Очевидно, что в целях обеспечения информационной безопасности на самых разных уровнях и для защиты этой информации необходимы законодательно закрепленные правила обращения с информацией и отдельными ее видами, правовые запреты их нарушения, соответствующие меры юридической ответственности. Все это есть. Однако не менее важны и собственно технические средства защиты информации на ПЭВМ. Именно они способны реально сохранить и защитить информацию пользователей разных уровней и категорий от несанкционированного доступа злоумышленников.

Современные угрозы информационной безопасности, равно как и источники их возникновения, чрезвычайно широки и многообразны. Это обусловлено постоянным и непрекращающимся развитием информационной сферы и области информационных технологий в мире. В эти процессы в последние годы вовлекается огромное количество пользователей. Однако эта, безусловно, позитивная составляющая процесса развития информационных технологий омрачается не менее активно растущими угрозами информационной безопасности. Эти угрозы возникают на всех уровнях информационных систем от каждого пользователя ПЭВМ до уровня государств.

Очевидно, что в этих условиях необходим комплексный подход к защите информации. На основе глубокого анализа самих угроз информационной безопасности, источников их возникновения, каналов утечки информации специалисты в области информационных технологий постоянно разрабатывают и внедряют в практику специальные программно-аппаратные комплексы защиты информации на ПЭВМ.

Актуальность проблемы защиты информации связана с тем, что в последнее время вырос интерес к вопросам защиты информации. Это связывают с тем, что стали более широко использоваться вычислительные сети, что приводит к тому, что появляются большие возможности для несанкционированного доступа к передаваемой информации.

Цель данной курсовой работы заключается в разработке общих рекомендаций для защиты информации в локальном офисном компьютере, а так же подбор модели защиты информации и ее обоснование.

1. Аналитическая часть

.1 Понятие информационной безопасности

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом - как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Для определения понятия «информационная безопасность» необходимо ввести следующие понятия:

·информация

·субъект

·объект

·Информационная система

·Информационная угроза

·Правила информационной безопасности.

Информация- это данные, представленные в том или ином виде, пригодном для хранения, обработки и передачи.

Существуют различные виды информации по форме её представления:

·Текстовая информация (книги, газеты, журналы)

·Числовая информация (Количественные характеристики объектов окружающего мира)

·Графическая информация (изображения, графики, картины и т.д.)

·Звуковая информация (звуки, сигналы)

·Видеоинформация (Последовательность изображений, зафиксированных на магнитной ленте, киноплёнке или на оптическом диске, с которых оно может быть воспроизведено.)

А так же виды информации по способам восприятия:

·Визуальная информация(изображения на экране монитора, слайды)

·Аудиальная информация (звуковые сигналы)

·Тактильная информация (воспринимается с помощью органов осязания) [1]

Субъект - пользователь информации или процесс, обрабатывающий данный набор информации (объект) и учитываемый, применительно к данному рассмотрению, в момент того или иного использования объекта

Объект - информационный ресурс, т. е. некий целостный набор информации, в который входят данные, объединенные общей темой, задачей, способом обработки и т. п.

Следовательно, объект - это некий пассивный(файлы), а субъект - активный участник процесса обмена информацией(программы.)

Информационная система - это потенциально открытый набор субъектов, воздействующих на набор объектов, причем субъекты одной системы обычно имеют общую цель или цели.

Информационная угроза - действие или событие, которое может привести к нарушению достоверности, целостности или конфиденциальности хранящейся, передаваемой или обрабатываемой информации.

Дадим определение некоторым понятиям, которые часто используются, при анализе безопасности информационной системы:

·Атака - попытка реализовать угрозу.

·Злоумышленник - тот, кто осуществляет атаку.

·Источник угрозы - потенциальный злоумышленник.

·Окно опасности - промежуток времени от начала возникновения возможности использовать слабое место в защите до момента, когда это слабое место будет ликвидировано.

Правила информационной безопасности - список разрешенных и/или запрещенных действий для субъектов информационной системы. Такие правила могут быть определены не только для человека (пользователя, администратора и т. д.), но и для процесса (например, процесса предоставления доступа на межсетевом экране).

Одним из нарушений правил является несанкционированный доступ- это такое действие, которое производится субъектом (или частью субъекта), для которого данное действие не определено как разрешенное (либо определено как запрещенное) правилами информационной безопасности.

Понятие "информационная безопасность" охватывает всё, что взаимодействует с информацией.

Итак, информационная безопасность- это комплекс мер по защите процессов создания данных, их ввода, обработки и вывода. Главная цель состоит в том, чтобы защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, когда информация создается, модифицируется, когда к ней обеспечивается доступ и когда она распространяется.

Информационная безопасность гарантирует достижение следующих целей:

·конфиденциальность критической информации (защищенность информации от несанкционированного доступа.)

·целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода). (это актуальность и непротиворечивость хранимой информации. Актуальность в данном случае следует понимать как оперативное отражение изменений, происходящих в предметной области, в информационной базе ИС. Непротиворечивость информации это соответствие содержимого информационной базы логике предметной области.)

·доступность информации в случае необходимости (возможность за приемлемое время выполнить ту или иную операцию над данными или получить нужную информацию)

·учет всех процессов, связанных с информацией.

Информационная безопасность, строящаяся на защите доступности, целостности и конфиденциальности информации часто называют моделью CIA. Сокращение происходит от английских терминов Confidentiality, Integrity, Availability,что и означает конфиденциальность, целостность, доступность.

Таким образом возможно появление трех классов угроз: угрозы доступности информации, угрозы целостности информации и угрозы конфиденциальности информации.

Информационная безопасность важна в экономической сфере, государственном управлении и военной области.

Существует ряд факторов, определяющих важность информационной безопасности. Например:

·высокие темпы роста парков компьютеров, находящихся в эксплуатации (это приводит к расширению поля деятельности для злоумышленников).

·Широкое применение компьютеров во всех областях человеческой деятельности (электронный документооборот, электронные платежи и др.)

·Совершенствование способов доступа к информации компьютера

·Высокая степень концентрации информации в компьютерах

·Усложнение вычислительных процессов в компьютерах.

Основными задачами информационной безопасности являются:

·своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;

·создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании предприятия;

·эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

·создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.

.2 Понятие политики безопасности

Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy". Здесь имеются в виду не отдельные правила или их наборы, а стратегия организации в области информационной безопасности.

Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности - набор законов, правил практического опыта, на основе которого строится управление, защита и распределение конфиденциальной информации в системе.

Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Наиболее часто рассматривается политика безопасности связанная с понятием доступа.

Доступ - категория субъектно-объектной модели, описывающей процесс выполнения операций субъектов (активный компонент компьютерной системы) над объектами (пассивный компонент компьютерной системы). [2]

Существуют различные уровни защиты информации.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Политика безопасности административного уровня - это совокупность документированных решений, принимаемых руководством организации и на правленых на защиту информации и ассоциированных с ней ресурсов.

Выработку политики безопасности и ее содержания рассматривают на трех горизонтальных уровнях детализации:

·Верхний уровень - вопросы, относящиеся к организации в целом;

·Средний уровень - вопросы, касающиеся отдельных аспектов информационной безопасности;

·Нижний уровень - вопросы, относящиеся к конкретным сервисам;

Более подробно эти уровни рассмотрим ниже.

После формулирования политики безопасности составляется программа обеспечения информационной безопасности. Она так же структурируется по уровням:

·Верхний уровень (центральный)- охватывает всю организацию;

·Нижний уровень (служебный)- относится к отдельным услугам или группам однородных сервисов.

Разработка и реализация политики безопасности.

Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов:

Первый шаг - разработка гипотетически идеальной для организации политики, куда закладываются те требования, которые идеально подходят для данной организации - формулируется некий идеальный профиль защиты.

Второй шаг- выбор (или разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.

Третий шаг - определение требований политики информационной безопасности, которые не выполняются системой защиты.

Политика безопасности верхнего уровня, затрагивающая всю организацию в целом, включает в себя:

а) решение сформировать или изменить комплексную программу обеспечения информационной безопасности;

б) формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей;

в) обеспечение нормативной базы для соблюдения законов и правил;

г) формулирование административных решений по вопросам, затрагивающих организацию в целом.

На данном уровне решаются следующие вопросы:

а) управление ресурсами защиты и координация использования данных ресурсов;

б) выделение персонала для защиты конфиденциально важных систем;

в) определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности;

г) определение правил соблюдения законодательных и нормативных правил, контроля за действием сотрудников, выработка системы поощрений и наказаний.

К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО.

Политика среднего уровня для каждого аспекта должна освещать: описание объекта; область применения; позицию организации по данному вопросу; роли и обязанности персонала; точки контакта различные подразделений.

Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Она включает в себя два аспекта:

1)Цели

2)Правила достижения поставленных целей

Политика безопасности нижнего уровня должна быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными.

Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Для разработки целей безопасности создается комитет по информационной безопасности.

Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).[3]

В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Microsoft, Symantec и пр.

Рассмотрим подход компании Microsoft.

Обязанность по обеспечению информационной безопасности в Microsoft возложена на две группы: Corporate Security Group и Operations and Technology Group.

Компания Microsoft разработала стратегию безопасности, состоящую из четырех основных компонентов:

миссии корпоративной безопасности;

принципов операционной безопасности:

модели принятия решений, основанной на анализе рисков;

тактической приоритезации деятельности по уменьшению рисков.

Для обеспечения информационной безопасности Corporate Security Group использует управление информационными рисками, под которым здесь понимается процесс определения, оценки и уменьшения рисков на постоянной основе. Управление рисками безопасности позволяет найти разумный баланс между стоимостью средств/мер защиты и требованиями бизнеса.

Модель управления рисками Corporate Security Group представляет собой комбинацию различных подходов, таких как количественный анализ рисков, анализ возврата инвестиций в безопасность, качественный анализ рисков, а также подходы лучших практик. Для реализации этого подхода Corporate Security Group разработала структуру, которая основана на традиционной модели управления информационными рисками.

Рекомендуемая Microsoft политика безопасности включает в себя:

определение целей безопасности;

важность обеспечения безопасности;

определение требуемого уровня безопасности;

стандарты безопасности, включая стратегии их мониторинга и аудита;

роли и ответственность по обеспечению безопасности;

цели и задачи офицера по безопасности;

определение процессов по защите индивидуальных компонентов архитектуры;

определение требуемого обучения вопросам безопасности.

Примерами декларируемых целей безопасности являются:

достижение максимально возможного уровня качества, надежности и конфиденциальности информации;

сохранение репутации компании;

недопущение повреждения или утери информации, процессов, собственности компании и обеспечение, таким образом, непрерывности работы компании;

сохранение ценности информации, интеллектуальной собственности и технологических ресурсов.

Реализация эффективной сетевой и информационной безопасности является проблемой для всех предприятий, больших и малых, так как все они опираются на критически важные бизнес-процессы. Однако крупные предприятия имеют больше как финансовых возможностей, так и кадровых ресурсов, в отличие от возможностей предприятий малого и среднего бизнеса.

Для выявления угроз и эффективной борьбы с ними, компаниям малого и среднего бизнеса необходимо внедрить логический подход, который, во-первых, даст оценку информационным рискам, затем произведет проверку инфраструктуры, прежде чем внедрять best practices на основе специальных средств защиты.

1.3 Современные средства физической, аппаратной и программной защиты информации

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационной системы.

Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на систему.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников информационной системы или ее пользователей, непреднамеренные ошибки в программном обеспечении ит.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Умышленные угрозы, которые в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям.

Защита от умышленных угроз - это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает. Многочисленные публикации последних лет показывают, что злоупотребления информацией, циркулирующей в ИС или передаваемой по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них. В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.).

Средства защиты информации делятся на:

.Физические - различные инженерные средства и сооружения, затрудняющие или исключающие физическое проникновение (или доступ) правонарушителей на объекты защиты и к материальным носителям конфиденциальной информации:

.Аппаратные - механические, электрические, электронные и другие устройства, предназначенные для защиты информации от утечки, разглашения, модификации, уничтожения, а также противодействия средствам технической разведки:

.Программные - специальные программы для ЭВМ, реализующие функции защиты информации от несанкционированного доступа, ознакомления, копирования, модификации, уничтожения и блокирования.

.Криптографические - технические и программные средства шифрования данных, основанные на использовании разнообразных математических и алгоритмических методов.

.Комбинированные - совокупная реализация аппаратных и программных средств и криптографических методов защиты информации.

Для осуществления защиты информации необходимо использование различных методов и средств.

Рассмотрим средства защиты информации.

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.[8]

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

·Аппаратные (технические) средства.

Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

Преимущества аппаратных средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

·Программные средства.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

Программные средства являются наиболее распространенными средствами защиты информации (особенно это касается корпоративных сетей).

Их можно классифицировать следующим образом:

·Встроенные средства защиты информации в сетевых ОС.

При современном развитии информационных технологий и растущем уровне угроз безопасности информации, обязательным элементом операционной системы является подсистема обеспечения безопасности, в зависимости от операционной системы, уровень сложности, надежности и

эффективности этих подсистем может сильно меняться, но, тем не менее, они почти всегда присутствуют.

Приведем несколько примеров таких средств:

В Linux системах стандартом де-факто является система межсетевого экранирования netfilter/iptables, дающая мощные возможности по управлению сетевым трафиком. Так же существует механизм chroot, который изменяет корневой каталог для программы или пользователя и позволяет запереть их там, таким образом, что остальная файловая система будет для них не доступна. Сhroot может использоваться как упреждающий способ защиты от бреши в безопасности, предотвращая возможного атакующего от нанесения любых повреждений или зондирования системы с помощью скомпрометированной программы.

В Windows системах, также имеются встроенные СЗИ, например межсетевой экран - Брандмауэр Windows, или Защитник Windows - программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появлениемодулей в операционных системах Microsoft Windows.

·Специализированные программные средства защиты информации.

Специализированные программные средства защиты информации от

несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС.

Из наиболее распространенных решений следует отметить следующие средства защиты информации:

·Программы шифрования и криптографические системы защиты информации.

Шифрование представляет собой сокрытие информации от неавторизованных лиц с предоставлением в это же время авторизованным пользователям доступа к ней. Пользователи называются авторизованными, если у них есть соответствующий ключ для дешифрования информации.

Еще одной важной концепцией, является то, что цель любой системы шифрования максимальное усложнение получения доступа к информации неавторизованными лицами, даже если у них есть зашифрованный текст и известен алгоритм, использованный для шифрования. Пока неавторизованный пользователь не обладает ключом, секретность и целостность информации не нарушается.

·Firewalls - брандмауэры. Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading),

когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

·Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Javaи JavaScript).

·VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Виртуальные частные сети обладают несколькими характеристиками: трафик шифруется для обеспечения защиты от прослушивания, осуществляется аутентификация удаленного сайта, виртуальные частные сети обеспечивают поддержку множества протоколов (используемые технологии: PPTP, PPPoE, IPSec.), соединение обеспечивает связь только между двумя конкретными абонентами.

Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Обнаружение вторжений - это активный процесс, при котором происходит обнаружение злоумышленника при его попытках проникнуть в систему. При обнаружении несанкционированных действий такая система выдаст сигнал тревоги о попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. Системы предотвращения вторжений помимо обнаружения запрещенных действий в сети могут также принимать активные меры по их предотвращению. Основными недостатками таких систем можно назвать невозможность обнаружить все атаки, осуществляемые на сеть и ложные срабатывания.

Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

·Физические средства.

Физические средства защиты информации - это различные устройства и сооружения, а также мероприятия, которые затрудняют или делают невозможным проникновение потенциальных нарушителей в места, в которых можно иметь доступ к защищаемой информации. Например:

замки (механические, электромеханические, электронные);

пломбы;

замки разового пользования;

защитные липкие ленты;

защитные и голографические этикетки;

специальные защитные упаковки;

электрические датчики разных типов;

телевизионные системы охраны и контроля;

лазерные системы;

оптические и инфракрасные системы;

устройства идентификации;

пластиковые идентификационные карточки;

ограждения;

средства обнаружения нарушителя или нарушающего воздействия;

специальные средства для транспортировки и хранения физических носителей информации (кассеты стриммеров, магнитные и оптические диски и т.п.) множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Физическая безопасность помещения - важнейшая составляющая системы защиты информации. Определение мер физической безопасности включает управление физическим доступом к подразделениям, а также к секретным отделам и помещениям. Например, центр регистрации и обработки данных должен иметь собственную систему контроля физического доступа. Как минимум, этот доступ должен быть строго ограничен. При определении мер физической безопасности необходимо выявить следующее:

§тип физической защиты здания, офисных помещений, документов на бумажных носителях и центра обработки данных;

§наличие ключей у персонала;

§засекреченные помещения здания или отдела (исключая центр обработки данных).

Чаще всего применяются такие меры:

физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений,

-ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий,

организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения,

организация системы охранной сигнализации.

Объектами физической безопасности также являются источники энергии, системы контроля состояния окружающей среды и системы противопожарной безопасности, используемые в центре обработки данных.

·Смешанные аппаратно-программные средства .

Они реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства. Зачастую в программно-аппаратных средствах реализуется целый комплекс мер по защите информации например, это может быть крипто-маршрутизатор с функциями межсетевого экрана.

·Организационные средства.

Эти средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).

Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении. [4,5].

1.4 Постановка задачи защиты информации

Проблемы информационной безопасности постоянно усугубляется процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем.

Формулирование целей и задач защиты информации, как любой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации.

Основные цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:

·предотвращение утечки, хищения, искажения, подделки информации;

·предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима как объекта собственности;

·защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющихся в информационных системах;

·сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

·обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.

Офисный компьютер часто подвергается ряду угроз, которые имеют различные факторы происхождения.

В качестве источника угроз информационной безопасности офисного компьютера может выступать человек либо группа людей, а также некие, независящие от деятельности человека, проявления. Исходя из этого, все источники угроз можно разделить на три группы:

·Человеческий фактор.

Данная группа угроз связана с действиями человека, имеющего санкционированный или несанкционированный доступ к информации. Угрозы этой группы можно разделить на:

внешние, к ним относятся действия кибер-преступников, хакеров, интернет-мошенников, недобросовестных партнеров, криминальных структур.

внутренние, к ним относятся действия персонала компаний, а также пользователей компьютеров. Действия данных людей могут быть как умышленными, так и случайными.

·Технический фактор.

Эта группа угроз связана с техническими проблемами - физическое и моральное устаревание использующегося оборудования, некачественные программные и аппаратные средства обработки информации. Все это приводит к отказу оборудования и зачастую потери информации.

·Стихийный фактор.

Эта группа угроз включает в себя природные катаклизмы, стихийные бедствия и прочие форс-мажорные обстоятельства, независящие от деятельности людей.

Главная задача защиты информации- снизить риск потери и искажения информации.

Самая распространенная угроза защиты информации любого компьютера-вирусы.

Защита офисных компьютеров от вирусов, не много отличается, от домашнего. Здесь приходиться платить за антивирусный продукт, тут желательно установить офисные дистрибутивы антивирусных программных продуктов. Антивирусные продукты должны иметь следующие характеристики: централизованное обновление (это существенно уменьшит нагрузку на интернетовский трафик), должен контролировать доступ по оборудованию включать/отключать любые порты компьютера, контролировать http трафик, контроль почты, мониторинг реестра. Имея все эти функции можно существенно облегчить работу, как пользователям, так и системному администратору.

Так же офисные компьютеры зачастую подвергаются несанкционированному доступу из-за халатности и некомпетентности персонала, некачественного контроля линий связи (локальных кабелей), слабой охраны территории и рабочих помещений, а также из-за использования устарелого, малоизвестного ПО.[9,10]

2. Проектная часть

.1 Выбор модели защиты информации в локальном офисном компьютере

Модели защиты информации исторически возникли из работ по. теории защиты ОС. Первая попытка использования модели защиты была предпринята при разработке защищенной ОС ADEPT-50 по заказу МО США. Эта модель состоит из множества объектов защиты: пользователи, задания, терминалы и файлы, которым задаются такие характеристики, как уровень конфиденциальности, категория прикладной области (из дискретного набора рубрик, описывающих прикладную область), полномочия и режим (вид) доступа.

Существует множество моделей защиты информации. Но все они являются модификациями трёх основных: дискреционной, мандатной и ролевой.

Дискреционная модель обеспечивает произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей - субъектов, которые осуществляют доступ к информации, пассивных сущностей - объектов, содержащих защищаемую информацию и конечного множества прав доступа, означающих полномочия на выполнение соответствующих действий. Принято считать, что все субъекты одновременно являются и объектами (обратное неверно). Поведение системы характеризуется текущим состоянием, текущее состояние характеризуется тройкой множеств: субъектов, объектов и матрицы прав доступа, описывающей текущие права доступа субъектов к объектам.

Требования к дискреционной модели управления доступом.

Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом. При этом к нему предъявляются следующие требования:

1.Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, про-

граммам, томам и т.д.);

1.Для каждой пары (субъект - объект) в средстве вычислительной техники должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту);

2.Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа;

.Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов);

.Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов;

.Право изменять право разграничения доступа должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.);

.Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.

Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных учреждениях многих стран. Всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, назначается специальная метка, получившая название уровень безопасности. Все уровни безопасности упорядочиваются по доминированию. Контроль доступа основывается на двух правилах:

. Субъект имеет право читать только те документы, уровень безопасности которых ниже или равен уровню субъекта.

. Субъект имеет право заносить информацию только в документы, уровень которых выше или равен уровню субъекта.

Ролевая модель представляет собой существенно усовершенствованную дискреционную модель, однако её нельзя отнести ни к дискреционным, ни к мандатным моделям, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов. В ролевой модели классическое понятие субъект замещается понятиями пользователь и роль.

Дискреционная модель защиты более гибкая, но не надежная. Мандатная модель более надежная, пресекает всякий волюнтаризм со стороны пользователей, но для описания с помощью этой модели нестационарной системы потребуется много ресурсов. Зачастую такая модель используется в военных системах.[11]

Наибольшее распространение получила многоуровневая модель защиты, разработанная Бэллом и Ла Падулом (Bell, La Padula) в фирме Mitre. В этой модели вводятся понятия уровня и категории. Каждому субъекту приписывается уровень допуска (форма допуска), а каждому объекту - уровень конфиденциальности (гриф секретности). В военной области известны такие уровни под грифами "сов. секретно", "секретно", "конфиденциально" (для служебного пользования) и "несекретно". Субъект обычно представляет процесс, выполняющийся по запросу пользователя и имеющий тот же уровень допуска, что и пользователь. Объектами могут быть области памяти, переменные программ, файлы, устройства ввода-вывода, пользователи и другие элементы системы, содержащие информацию. Каждому субъекту и объекту приписывается также множество категорий в виде прикладных областей, например "Ядерное вооружение" или "НАТО". Тогда уровень безопасности представляется в виде сочетания: уровень конфиденциальности, множество категорий.

Один уровень безопасности доминирует над другим тогда и только тогда, когда его уровень конфиденциальности или уровень допуска больше или равен второму, и его множество категорий включает соответствующее множество второго. Уровни допуска и конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично, так что некоторые субъекты и объекты могут быть несравнимы.

Доступ к объекту может рассматриваться либо как чтение (получение из него информации), либо как изменение (запись в него информации). Тогда виды доступа определяются любыми возможными сочетаниями таких операций, т.е.:

ни чтение, ни изменение;

только чтение;

только изменение;

чтение и изменение.

Модель рассматривает состояния системы безопасности, которые определяются:

текущим множеством доступов, представляемых в виде триад (субъект, объект, вид доступа);

матрицей доступа;

уровнем безопасности каждого объекта;

максимальным и текущим уровнями безопасности каждого субъекта.

Любой запрос вызывает изменение состояния системы. Запросы могут быть: на доступ к объектам, на изменение уровня безопасности или матрицы доступа, на создание или удаление объектов. Реакция системы на запросы называется решением. При данном запросе и текущем состоянии решение и новое состояние определяются правилами. (Здесь правила рассматриваются не как правила доступа в дискретной модели, а как правила оценки) Эти правила поведения системы предписывают, как будет обрабатываться каждый вид запроса. Доказательство безопасности системы включает доказательство того, что каждое правило выполняется безопасным образом. Тогда, если состояние системы безопасно, то любой новый запрос вызывает переход системы в новое безопасное состояние.

В отличие от дискретной модели безопасности модель Белла-ЛаПадула не определяет прав доступа для каждого пользователя. Это означает, что разные субъекты могут иметь один уровень полномочий. Данная модель служит основой для мандатной (полномочной) системы безопасности. При строгой реализации модели Белла-ЛаПадула возникает ряд проблем.

Завышение уровня секретности - вытекает из одноуровневой природы объектов. Это означает, что некоторой информации может быть дан уровень секретности выше того, что она заслуживает. Пример - несекретный параграф в секретном сообщении.

Запись вслепую - это проблема вытекает из правила NRU. Рассмотрим ситуацию, когда субъект производит запись объекта с более высоким уровнем безопасности (эта операция не нарушает правила NWD). Однако после завершения операции субъект не может проверить правильность выполнения записи объекта с помощью контрольного чтения, так как это нарушает правило NRU.

Удаленная запись - это проблема вытекает из правила NWD. Рассмотрим ситуацию, когда некоторый субъект осуществляет операцию чтения в распределенной системе. Такая операция возможна при выполнении правила NRU, так что уровень безопасности субъекта больше уровня безопасности объекта. Однако в распределенных системах операция чтения инициируется запросом с одной компоненты на другую, что можно рассматривать в данном случае как посылку сообщения от субъекта с более высоким уровнем безопасности к объекту с более низким уровнем, что является нарушением правила NWD.

Привилегированные субъекты - эта проблема связана с работой системного администратора. Функционирование системного администратора подразумевает выполнение в системе таких критических операций, как добавление и удаление пользователей, восстановление системы после аварий, установка программного обеспечения, устранение ошибок и т.п. Очевидно, что такие операции не вписываются в модель, что означает невозможность осуществления правильного администрирования без нарушения правил данной модели. Поэтому правила модели Белла-ЛаПадула нужно рассматривать для множества всех субъектов, исключая привилегированные.

Для защиты информации в локальном офисном компьютере наиболее подходящей является модель безопасности с полным перекрытием, так как основное преимущество состоит в возможности численного получения оценки степени надежности системы защиты информации. Данный метод не специфицирует непосредственно модель системы защиты информации, а может использоваться только в сочетании с другими типами моделей систем защиты информации. данный подход полезен тем, что позволяет минимизировать накладные расходы (ресурсы вычислительной системы) для реализации заданного уровня безопасности.

В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе. Считается, что несанкционированный доступ к каждому из набора защищаемых объектов О сопряжен с некоторой величиной ущерба для своего ущерба, и этот ущерб может (или не может) быть определен количественно.

С каждым объектом, требующим защиты связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Можно попытаться перечислить все потенциальные злоумышленные действия по отношению ко всем объектам безопасности для формирования набора угроз Т, направленных на нарушение безопасности. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.

При анализе систем защиты информации модели данного типа позволяют оценить вероятность преодоления системы защиты и степень ущерба системе в случае преодоления системы защиты.[12]

.2 Физические меры защиты информации в локальном офисном компьютере

Физические меры защиты обеспечивают содержание компьютера и информации в нем в безопасности от физических опасностей, таких как: стихийные бедствия (пожар, наводнение, и землетрясение),порча источников напряжения, порча и кража физических носителей информации(жесткий диск и пр.),кража компьютера и многое другое. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации.

Наряду с возможностью удалённого НСД, необходимо рассматривать ещё и физический доступ к определённым компьютерам сети. Во многих случаях эта задача решается системами аудио- и видеонаблюдения, сигнализациями в помещениях, а также правилами допуска посторонних лиц, за соблюдением которых строго следит служба безопасности и сами сотрудники.

Чтобы избежать вышеперечисленных угроз существуют организационные и организационно-технические меры защиты информации в системах обработки данных офисного компьютера.

Организационные меры предусматривают:

·Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.

·Допуск к решению задач на ЭВМ по обработке секретной,

конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ЭВМ.

·Хранение магнитных носителей в тщательно закрытых прочных шкафах, сейфах.

·Назначение одной или нескольких ЭВМ для обработки ценной информации и дальнейшая работа только на этих ЭВМ.

·Установка дисплея, клавиатуры и принтера таким образом, чтобы

исключить просмотр посторонними лицами содержания обрабатываемой информации.

·Постоянное наблюдение за работой принтера и других устройств вывода на материальных носителях ценной информации.

·Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.

·Запрещение ведения переговоров о непосредственном содержании

конфиденциальной информации лицам, занятым ее обработкой.

Организационно-технические меры предполагают:

·Ограничение доступа внутрь корпуса ЭВМ путем установления

механических запорных устройств.

·Уничтожение всей информации на винчестере ЭВМ при ее отправке в ремонт с использованием средств низкоуровневого форматирования.

·Организацию питания ЭВМ от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.

·Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.

·

Содержание Введение . Аналитическая часть .1 Понятие информационной безопасности .2 Понятие политики безопасности .3 Современные средства физ

Больше работ по теме: