Главная » Бесплатные рефераты » Бесплатные рефераты по информатике »

Технические средства зашиты от утечек информации

Тема: Технические средства зашиты от утечек информации

Раздел: Бесплатные рефераты по информатике

Вуз: ВЗФЭИ

Год и город: Москва 2009

СОДЕРЖАНИЕ

ВЕДЕНИЕ 3

1. МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 4

1.2. ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ. 5

2. ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАШИТЫ ОТ УТЕЧЕК ИНФОРМАЦИИ 7

2.1. КРИПТОГРАФИЯ 7

2.2. ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ 8

2.3. ПРОТОКОЛИРОВАНИЕ И АУДИТ 10

2.4. УПРАВЛЕНИЕ ДОСТУПОМ 12

3. ПРАКТИКА 13

3.1. ОПИСАНИЯ АЛГОРИТМА РЕШЕНИЯ ЗАДАЧИ 17

ЗАКЛЮЧЕНИЕ 21

СПИСОК ЛИТЕРАТУРЫ 22

Ведение

Во все времена информация являлась основой развития человечества и любых сфер деятельности. На сегодняшний день, в любом бизнес-процессе ключевую роль играет обладание информацией, а значит – её защита.

По общемировой статистике 80% компаний, допустивших утечку коммерческой информации, неминуемо завершили свою деятельность крахом. На сегодняшний день свыше 4,6 миллионов компьютеров во всём мире подвержены уязвимостям, и более 90% компьютеров потенциально уязвимы. Ежедневно совершается более 6000 атак на компьютерные сети организаций разного уровня. По данным «InfoWatch», в 2007 году общемировые убытки от информационных утечек достигнут отметки в 1 трлн. долл. Это на 300 млрд. долл. больше, чем в 2006 году.

За последние годы актуальность этой угрозы возросла настолько, что сегодня кража классифицированных сведений стабильно занимает первые места во всех рейтингах угроз ИТ-безопасности. Возрастающее использование электронной почты, интернет - пейджеров и других средств передачи данных, распространенность мобильных устройств - все это значительно осложняет контроль над потоками данных, а следовательно содействует утечки информации.

Целью курсовой работы является знакомство со средствами защиты информации. Часть из которых рассмотрим подробно.

Криптография
Аутентификация
Протоколирование и аудит
Управление доступом

В практической части курсовой работы перед нами была поставлена экономическая задача. При решении которой, была использована программа для работы с электронными таблицами Microsoft Office Excel 2007. Полученные результаты были наглядно представлены в качестве таблиц и гистограмм.

1. Меры информационной безопасности

Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется

Можно выделить следующие направления мер информационной безопасности.

правовые
организационные
технические

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства. К правовым мерам также относятся вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.

К организационным мерам относится: охрана вычислительного центра, тщательный подбор персонала, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

1.2. Технические меры защиты информации.

Технические меры можно классифицировать так потенциальные угрозы, против которых направлены технические меры защиты информации:

Потери информации из-за сбоев оборудования:

перебои электропитания;
сбои дисковых систем;
сбои работы серверов, рабочих станций, сетевых карт и т.д.

Потери информации из-за некорректной работы программ:

потеря или изменение данных при ошибках ПО;
потери при заражении системы компьютерными вирусами;

Потери, связанные с несанкционированным доступом:

несанкционированное копирование, уничтожение илиподделкаинформации;
ознакомление с конфиденциальной информацией

Ошибки обслуживающего персонала и пользователей:

случайное уничтожение или изменение данных;
некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменениюданных.

По средствам зашиты технические меры можно разделить на:

Аппаратные средства защиты

Под аппаратными средствами защиты понимаются специальные средства, непосредственно входящие в состав технического обеспечения и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами, например с программными.

Можно выделить наиболее важные элементы аппаратной защиты:

защита от сбоев в электропитании;
защита от сбоев серверов, рабочих станций илокальных компьютеров;
защита от сбоев устройств, для хранения информации;
защита от утечек информации электромагнитных излучений.

программные средства защиты

Программными, называются средства защиты данных, функционирующие в составе программного обеспечения.

Среди них можно выделить следующие;

средства архивации данных
антивирусные программы
криптографические средства
средства идентификации и аутентификации пользователей
средства управления доступом
протоколирование и аудит

Как примеры комбинаций вышеперечисленных средств можно привести:

защиту баз данных
защиту информации при работе в компьютерных сетях.

2. Технические средства зашиты от утечек информации

2.1. Криптография

Криптографическое преобразование - один из наиболее эффективных методов, резко повышающих безопасность:

передачи данных в компьютерных сетях;
данных, хранящихся в удаленных устройствах памяти;
информации при обмене между удаленными объектами.

Защита информации методом криптографического преобразования заключается в приведении ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ- это изменяемая часть криптографической системы, хранящаяся в тайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.

Для преобразования (шифрования) используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Само же управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст.

К методам криптографического преобразования применимы следующие требования:

метод должен быть достаточно устойчивым к попыткам раскрытия исходного текста на основе зашифрованного;
обмен ключа не должен быть труден для запоминания;
затраты на защитные преобразования должны быть приемлемы при заданном уровне сохранности информации;
ошибки в шифровании не должны приводить к явной потере информации;
длина зашифрованного текста не должна превышать длину исходного текста.

Существует несколько методов защитных преобразований, которые можно подразделить на четыре основные группы: перестановка замены (подстановки), аддитивные и комбинированные методы.

Рис. 1. Процедура шифрования файлов.

Рис. 1. Процедура шифрования файлов.

2.2. Идентификации и аутентификации пользователей

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая линия обороны, «проходная» информационного пространства организации.

Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа.

Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации и др.

Один из наиболее распространенных методов аутентификации - присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль-это совокупность символов, определяющая объект (субъект).

Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, в том числе:

не хранить пароли в вычислительной системе в незашифрованном виде;
не печатать и не отображать пароли в явном виде на терминале пользователя;
не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы и др.);
не использовать реальные слова из энциклопедии или толкового словаря;
выбирать длинные пароли;
использовать смесь символов верхнего и нижнего регистров клавиатуры;
использовать комбинации из двух простых слов, соединенных специальными символами (например, + , = и др.);
придумывать новые слова (абсурдные или даже бредового содержания);
чаще менять пароль.

Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др. Но пока эти приемы носят скорее рекламный, чем практический характер.

Более широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах; пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой, содержащей около 100 байт информации, которая считывается специальным считывающим устройством (используются как кредитные карточки, карточки для банкоматов и др.); пластиковые карты, содержащие встроенную микросхему ( smart- card ); карты оптической памяти и др.

Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации - идентификация и установление подлинности документов на основе электронной цифровой подписи.

Электронная цифровая подпись представляет собой способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.

2.3. Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе.

Эти событий можно разделить на:

внешние (вызванные действиями других сервисов)
внутренние (вызванные действиями самого сервиса)
клиентские (вызванные действиями пользователей и администраторов).

Аудит — это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

Реализация протоколирования и аудита решает следующие задачи:

обеспечение подотчетности пользователей и администраторов;
(обеспечение возможности реконструкции последовательности событий;
о6наруженис попыток нарушении информационной безопасности;
предоставление информации для выявления и анализа проблем.

Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

• дата и время события;

• уникальный идентификатор пользователя

• результат действия (успех или неудача);

• источник запроса (например, имя терминала);

• имена затронутых объектов (например, открываемых или удаляемых файлов);

• описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Характерная особенность протоколирования и аудита — зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации, а реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

2.4. Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). Логическое управление доступом это основной механизм многопользовательских систем, призванный обеспечить конфиденциальности и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Существуют следующие методы разграничения доступа:

разграничение доступа по спискам (задаются соответствия: каждому пользователю — список ресурсов и прав доступа к ним или каждому ресурсу — список пользователей и их прав доступа к данному ресурсу);
использование матрицы установления полномочий (подразумевает применение матрицы доступа (таблицы полномочий));
разграничение доступа по уровням секретности и категориям (заключается в разделении ресурсов информационной системы по уровням секретности и категориям);
парольное разграничение доступа (задается и контролируется ранг категории пользователей).

3. Практика

Задание:

Создать таблицы по приведенным данным.
Произвести необходимый расчет.
Заполнить таблицу числовыми данными, выполнив консолидацию по расположению данных.
По данным таблицы построить гистограмму.
Сформировать выходной документ.

№ лицевого счета	ФИО	Сумма причитающейся пенсии, руб.	Удержания по исполнит. документам, руб.	Выплачено пенсионеру, руб.
И1212	Иванов А. А.	900	125	775
А1245	Антонов С. С.	1200	200	1000
П1268	Петров И. И.	560	25	535
Д1378	Дубровицкий И. С.	456		456
С1577	Сидорчук А. В.	304	100	204

Рис. 3.1. Свод лицевых счетов пенсионеров за январь 2006 г.

№ лицевого счета	ФИО	Сумма причитающейся пенсии, руб.	Удержания по исполнит. документам, руб.	Выплачено пенсионеру, руб.
И1212	Иванов А. А.	950	130	820
А1245	Антонов С. С.	1250	210	1040
П1268	Петров И. И.	610	30	580
Д1378	Дубровицкий И. С.	506	5	501
С1577	Сидорчук А. В.	374	100	274

Рис. 3.2. Свод лицевых счетов пенсионеров за февраль 2006 г.

№ лицевого счета	ФИО	Сумма причитающейся пенсии, руб.	Удержания по исполнит. документам, руб.	Выплачено пенсионеру, руб.
И1212	Иванов А. А.	1850	255	1595
А1245	Антонов С. С.	2450	410	2040
П1268	Петров И. И.	1170	55	1115
Д1378	Дубровицкий И. С.	962	5	957
С1577	Сидорчук А. В.	678	200	478

Рис. 3.3. Свод лицевых счетов пенсионеров за январь и февраль 2006 г.

3.1. Описания алгоритма решения задачи смотрите в файле

Заключение

В курсовой работе была рассмотрена проблема технических средств защиты от утечек. Работа раскрывает такие аспекты как:

цели защиты информации;
технические средства защиты информации;
Криптография
Протоколирование и аудит
Управление доступом

Можно с уверенностью сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу, чтобы средства и действия, используемые для обеспечения информационной безопасности – организационные, физические и программно-технические – рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Необходимо постоянно следить за новыми решениями в этой области.

"Кто владеет информацией, тот владеет миром". Эта знаменитая фраза Уинстона Черчилля не только не потеряла актуальность в наши дни, но, одновременно с развитием информационных технологий, значимость ее возросла многократно. 21 век можно назвать веком электронной информации. В работе и повседневной жизни мы используем компьютеры для обработки, хранения и передачи данных.

Широкая информатизация обществ, внедрение компьютерной технологии в сферу управления объектами государственного значения, стремительный рост темпов научно-технического прогресса наряду с положительными достижениями в информационных технологиях, создают реальные предпосылки для утечки конфиденциальной информации.

Список литературы

Федеральный закон «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ».
Информационные системы в экономике: учебник для студентов вузов, обучающихся по экономическим специальностям и специальностям экономики и управления / Под ред. Г. А. Титоренко. – 2-е изд., перераб. И доп. – М.: ЮНИТИ-ДАНА, 2006. – 463 с.
Экономическая информатика: Учебник /Под ред. В.П. Косарева.- М.: ИНФРА-М, 2004 г.
Введение в теорию информационной безопасности: учеб. пособие/ Ю.А. Илларионов; под ред. М.Ю. Монахова;Владимирский гос. ун-т. – Владимир: Ред.-издат. Комплекс ВлГУ, 2005,103 с.
Основы информационной безопасности : курс лекций : учебное пособие / Издание третье / Галатенко В. А. Под редакцией академика РАН В. Б. Бетелина/ - М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий*, 2006. - 208 с.
Информационная безопасность / П. Н. Башлы. – Ростов н/Д : Феникс, 2006. – 253 с.
http://www.rbcdaily.ru/2007/01/30/media/264617 (24.12.2007 18:00).

Внимание!

Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы

Бесплатная оценка

Размер: 191.38K

Скачано: 313

Скачать бесплатно

17.01.10 в 13:03 Автор:

Понравилось? Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).

Чтобы скачать бесплатно Курсовые работы на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.

Важно! Все представленные Курсовые работы для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.

Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.

Добавить работу

Если Курсовая работа, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.

Добавление отзыва к работе

Добавить отзыв могут только зарегистрированные пользователи.