ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Государственное образовательное учреждение высшего  профессионального образования

  МОСКОВСКИЙ  ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПРИБОРОСТРОЕНИЯ  И ИНФОРМАТИКИ

КАФЕДРА «Экономические информационные системы»

 
 
 

  Реферат

  по  Информационной безопасности

    на тему: «Виды угроз и методы  обеспечения информационной безопасности» 
 
 
 
 
 
 
 

     СОДЕРЖАНИЕ

      Введение…………………………………………………………………..3-6

1. Виды  угроз информационной безопасности

  

Угрозы  безопасности информационных объектов…………6-11

  

Угрозы безопасности программного обеспечения…………..11-17

  

Угрозы  информации в компьютерных сетях………………..17-19

  

Угрозы  коммерческой информации…………………………...19-20

2. Методы и средства обеспечения информационной безопасности организации (фирмы)……………………………………………...20-27

Список использованной литературы…………………………………….28 
 

     Введение

     Информация  играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом. И напротив, искажение информации, блокирование ее получения, использование недостоверных данных ведут к ошибочным решениям.

     Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера. Темпы прогресса сегодняшнего, а тем более завтрашнего дня в значительной мере зависят от состояния дел в области информационно-вычислительного обслуживания важнейших сфер деятельности — науки, техники, производства и управления.

     Особенно  актуальна проблема использования  экономической информации в сфере управления материальным производством, где рост информационного потока находится в квадратичной зависимости от промышленного потенциала страны. В свою очередь, быстрое развитие процессов автоматизации, использование компьютеров во всех сферах современной жизни, помимо несомненных преимуществ, повлекли появление ряда специфичных проблем. Одна из них — необходимость обеспечения эффективной защиты информации. Исходя из этого создание правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, а также защита этой информации становятся важнейшим аспектом информационной политики государства. Защита информации, особенно в экономической сфере, — очень специфический и важный вид деятельности. Достаточно сказать, что в мире средняя величина ущерба от одной банковской кражи с применением электронных средств оценивается в 9 тыс. долл. Ежегодные потери от компьютерных преступлений в США и Западной Европе достигают 140 млрд. долл. По мнению американских специалистов, снятие систем защиты информации с компьютерных сетей приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков лопнут за 2—5 часов, 50% банков — через 2—3 дня.

     Представляют  интерес сведения о проблемах  защиты данных, приведших к материальным потерям в компаниях США:

• сбои в работе сети (24%);
• ошибки программного обеспечения (14%);
• компьютерные вирусы (12%);
• неисправности в компьютерах (11%);
• хищение данных (7%);
• саботаж (5%);
• несанкционированное внедрение в сеть (4%);
• прочие (23%).

     Бурное  развитие и распространение компьютерных систем и информационных сетей, обслуживающих банки и биржи, сопровождается ростом правонарушений, связанных с кражами и неправомочным доступом к данным, хранящимся в памяти компьютеров и передаваемым по линиям связи.

     Компьютерные  преступления происходят сегодня во всех странах мира и распространены во многих областях человеческой деятельности. Они характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел. Правонарушения в сфере компьютерной информации могут совершаться в форме:

• махинаций путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды;
• компьютерного шпионажа и кражи программного обеспечения;
• компьютерных диверсий;
• кражи услуг (времени), неправомерного использования систем обработки данных;
• неправомерного доступа к системам обработки данных и «взламывания» их;
• традиционных преступлений в сфере бизнеса (экономики), совершаемых с помощью систем обработки данных.

     Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют хакеры и крэкеры, проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крэкеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами. За последние десятилетия в странах бывшего СССР появилась мощная генерация высокоподготовленных потенциальных хакеров, работавших в организациях и ведомствах, занимавшихся информационным пиратством на государственном уровне для использования полученной с Запада информации в военных и экономических интересах.

     Что же крадут хакеры? Потенциальным объектом может служить любая информация, заложенная в ЭВМ, проходящая по вычислительным сетям или находящаяся на носителях ЭВМ и способная принести прибыль хакеру или его работодателю. К данной информации относятся практически все сведения, составляющие коммерческую тайну фирм, начиная от разработок и ноу-хау и заканчивая платежными ведомостями, по которым легко «вычислить» оборот фирмы, количество сотрудников и т. д.

     Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.

     Крэкеры — «компьютерные террористы»  — занимаются порчей программ или информации с помощью вирусов — специальных программ, обеспечивающих уничтожение информации или сбои в работе системы. Создание «вирусных» программ — дело весьма прибыльное, так как некоторые фирмы-производители используют вирусы для защиты своих программных продуктов от несанкционированного копирования.

     Для многих фирм получение информации с  помощью внедрения к конкурентам  хакера-программиста — дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры — дело дорогостоящее и опасное. К тому же фирма-конкурент при обнаружении технических средств может в ответ затеять игру, давая ложную информацию. Поэтому свой хакер-программист в «стане врага» — наиболее надежный способ борьбы с конкурентами.

     Таким образом, всевозрастающая опасность  компьютерной преступности, прежде всего в финансово-кредитной сфере, определяет важность обеспечения безопасности автоматизированных информационных систем.

1. Виды  угроз информационной безопасности

 

     1.1. Угрозы безопасности информационных объектов

     Общая классификация угроз автоматизированной информационной системе объекта выглядит следующим образом:

• Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи.

     Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки. При этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера.

     Такой съем информации представляет собой  сложную техническую задачу и требует привлечения квалифицированных специалистов. С помощью приемного устройства, выполненного на базе стандартного телевизора, можно перехватывать информацию, выводимую на экраны дисплеев компьютеров с расстояния в тысячу и более метров. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за процессом обмена сообщениями без доступа к их содержанию.

• Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.

     Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.

• Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.

     Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки платежных документов.

     — Угрозы отказа от выполнения трансакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.

     Оценка  уязвимости автоматизированной информационной системы и построение модели воздействий предполагают изучение всех вариантов реализации перечисленных выше угроз и выявление последствий, к которым они приводят. 

     Угрозы  могут быть обусловлены:

     — естественными факторами (стихийные бедствия — пожар, наводнение, ураган, молния и другие причины);

     — человеческими факторами, которые  в свою очередь подразделяются на:

     пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т. п.);

     активные  угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром «мусора»; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной «утечкой умов», знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам);

     — человеко-машинными и машинными  факторами, подразделяющимися на:

     пассивные угрозы. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонентов (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.); с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

     активные  угрозы. Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение различных видов носителей информации: дискет, описаний, распечаток и других материалов, просмотр вводимых данных, распечаток, просмотр «мусора»); угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях (токопроводящие коммуникации), визуально-оптические способы добычи информации, подслушивание служебных и научно-технических разговоров и т. п.).