Защита информации

План:

 

 

1. Введение…………………………………………………………………… 3
2. Принципы, основные задачи и функции обеспечения информационной безопасности………………………………………………………………..4
3. Отечественные и зарубежные стандарты в области информационной безопасности………………………………………………………………..7
4. Методы защиты информации…………………………………………....15

а) Классификация возможных каналов утечки информации в ПЭВМ…...15

б) Направления обеспечения безопасности информации…………………18

в) Защита от несанкционированного доступа……………………………...20

г) Защита при помощи программных паролей……………………………..21

д) Защита методом  автоматического обратного вызова…………………...23

е) Защита методом  шифрования данных…………………………………...24

ж) Защита от компьютерного  вируса. Основные методы защиты от компьютерных вирусов……………………………………………26

з) Стратегия защиты от вирусов…………………………………………….28

и) Действия при заражении вирусом……………………………………….29

5. Заключение……………………………………………………………… 33
6. Список литературы………………………………………………………34

 

 

 

 

 

 

 

 

Введение

Зашита  информации в настоящее время  становится все более и более  популярный не только среди крупных  фирм, но так же и среди  обычных  пользователей.

Защитой информации называют  комплекс мероприятий, направленных на обеспечение важнейших  аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов,используемых для ввода, хранения, обработки и  передачи данных) .

Следует так же отметить, что система называется безопасной, если она, используя соответствующие  аппаратные и программные средства, управляет доступом к информации так, что только должным образом  авторизованные лица или же действующие  от их имени процессы получают право  читать, писать, создавать и удалять  информацию.  Сегодня существует множество методов защиты информации,  таких как программные пароли, шифрование, различные антивирусные программы и многое другое

Цель  моей работы: осветить основные принципы и задачи защиты информации, а так  же попытаться разобраться в основных функциях и методах защиты информации.

 

 

 Принципы, основные задачи и функции обеспечения информационной безопасности

 

Поскольку информационная безопасность должна быть связующим звеном между политикой  национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, общим и для национальной безопасности, и для информационной политики. В  то же время, если сопоставить принципы обеспечения национальной безопасности, закрепленные в Законе РФ «О безопасности»  и в Концепции национальной безопасности, с принципами государственной информационной политики (ГИП), изложенными в парламентском  варианте Концепции ГИП, то прямо  они не совпадают друг с другом, а в ряде случаев взаимопротиворечивы. по своему содержанию (например, баланс интересов — равенство, государственные  интересы — социальная ориентация).

Так в  новой Концепции национальной безопасности по ряду принципов, закрепленных в Законе, раскрыто их содержание (приведено  в скобках):

• законность (соблюдение Конституции Российской Федерации, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности);
• соблюдение баланса жизненно важных интересов личности, общества и государства (единство, взаимосвязь и сбалансированность всех видов безопасности, гибкое изменение их приоритетности в зависимости от ситуации);
• не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом (уважение прав и свобод человека);

Ряд принципов  не нашел отражения в Концепции, хотя закреплен в Законе (взаимная ответственность личности, общества и государства по обеспечению  безопасности; интеграция с международными системами безопасности);

Добавлены новые принципы обеспечения безопасности (приоритет политических и экономических  мер обеспечения национальной безопасности с опорой на военный потенциал  России; сочетание централизованного  управления силами и средствами обеспечения  безопасности с передачей в соответствии с федеративным устройством России части полномочий в этой области  органам государственной власти субъектов Российской Федерации  и органам местного самоуправления).

Авторы  Концепции ГИП исходят же из того, что государственная информационная политика должна опираться на следующие  базовые принципы:

• открытости политики (все основные мероприятия информационной политики открыто обсуждаются обществом и государство учитывает общественное мнение);
• равенства интересов (политика в равной степени учитывает интересы всех участников информационной деятельности вне зависимости от их положения в обществе, формы собственности и государственной  принадлежности);
• системности (при реализации принятых решений по изменению состояния одного из объектов регулирования должны учитываться его последствия для состояния других и всех в совокупности);
• приоритетности отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);
• социальной ориентации (основные мероприятия ГИП должны быть направлены на обеспечение социальных интересов граждан России);
• государственной поддержки (мероприятия информационной политики, направленные на информационное развитие социальной сферы финансируются преимущественно государством);

Поскольку от эффективности выполнения последней  указанной функции во многом напрямую зависят сроки и возможности  организации системы обеспечения  информационной безопасности, то стоит  рассмотреть ее содержание подробнее.

 

Отечественные и зарубежные стандарты в области  информационной безопасности

 

В Российской Федерации сейчас насчитывается  более 22 тысяч действующих стандартов. Стандартизация начинается с основополагающего  стандарта, устанавливающего общие  положения. На сегодняшний день такого стандарта в области информационной безопасности нет. Девять ГОСТов: ГОСТ 28147—89, ГОСТ Р 34.10—94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96 относятся к различным  группам по классификатору стандартов и, к сожалению, не являются функционально  полными ни по одному из направлений  защиты информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области  защиты информации:

• системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12 ГОСТов;
• информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т. д.) — около 200 ГОСТов;
• системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) — больше 100 ГОСТов.

Значительная  часть стандартов на методы контроля и испытаний (около 60 %) может быть признана не соответствующей требованию Закона РФ «Об обеспечении единства измерений», как правило, в части  погрешностей измерений. Отсутствуют стандарты в сфере информационнопсихологической безопасности.

 Таким  образом, очевидно, что работа  над объектами стандартизации  в сфере информационной безопасности  только разворачивается. Для этого  крайне важен международный опыт. В 1983 году Агентство компьютерной  безопасности Министерства обороны  США опубликовало отчет, названный  TSEC (Критерии Оценки Защищенности  Надежных Систем) или Оранжевая  книга (по цвету переплета), где  были определены 7 уровней безопасности (Al — гарантированная защита, Bl, B2, В3 — полное управление доступом, Cl, C2 — избирательное управление  доступом, D —минимальная безопасность) для оценки защиты конфиденциальных  данных в многопользовательских  компьютерных системах. Для оценки  компьютерных систем Министерства  обороны США Национальный Центр  компьютерной безопасности МО  США выпустил инструкции NCSC-TG-005 и  NCSC-TG-011,известные как Красная  книга (по цвету переплета). В  качестве ответа Агентство информационной  безопасности ФРГ подготовило  Green Book (Зеленая книга), где рассмотрены  в комплексе требования к доступности,  целостности и конфиденциальности  информации как в государственном,  так и в частном секторе.  В 1990 году Зеленая книга была  одобрена ФРГ, Великобританией,  Францией и Голландией и направлена  в ЕС, где на ее основе была  подготовлена ITSEC (Критерии Оценки  Защищенности Информационных Технологий) или Белая книга как европейский  стандарт, определяющий критерии, требования  и процедуры для создания безопасных  информационных систем, имеющий  две схемы оценки: по эффективности  (от Е1 до Е6) и по функциональности (доступность, целостность системы,  целостность данных, конфиденциальность  информации и передача данных). С учетом интеграции России  в общеевропейские структуры  рассмотрим подробнее положения  европейского стандарта. В Белой книге названы основные компоненты критериев безопасности ITSEC:

1. Информационная  безопасность.

2. Безопасность  системы. 

3. Безопасность  продукта.

4. Угроза  безопасности.

5. Набор  функций безопасности.

6. Гарантированность  безопасности.

7. Общая  оценка безопасности.

8. Классы  безопасности.

Согласно  европейским критериям ITSEC, информационная безопасность включает в себя шесть  основных элементов ее детализации:

1. Конфиденциальность  информации (защита от несанкционированного  получения информации).

2. Целостность  информации (зашита от несанкционированного  изменения информации).

3. Доступность  информации (защита от несанкционированного  или случайного удержания информации  и ресурсов системы).

4. Цели  безопасности (зачем нужны функции  информационной 

безопасности).

5. Спецификация  функций безопасности: • идентификация  и аутентификация (понимается не  только традиционная проверка  подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в т. ч. средств контроля целостности и функции для ограничения количества повторных попыток аутентификации);

• управление доступом (в том числе функции безопасности, которые обеспечивают: временное ограничение доступа к совместно используемым объектам, с целью поддержания целостности этих объектов; управление  распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);
• подотчетность (протоколирование);
• аудит (независимый контроль);
• повторное использование объектов;
• точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));
• надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т, е. безопасности данных, передаваемых по каналам связи);
• обмен данными.

6. Описание  механизмов безопасности.

В Белой  книге декларируется разница  между «системой» и «продуктом». Под «системой» понимается конкретная аппаратно-программная конфигурация, созданная с вполне определенными  целями и работающая визвестном окружении, а под «продуктом» — аппаратно-программный  пакет, который можно купить и  по своему усмотрению вставить в ту или иную «систему». Для объединения  критериев оценки «системы» и  «продукта» в ITSEC вводится единый термин — «объект» оценки. Каждая «система»  и/ или «продукт» предъявляют  свои требования к обеспечению конфиденциальности, целостности и доступности информации. Для их реализации необходим и  соответствующий набор функций  безопасности таких, как идентификация  и аутентификация, управление доступом, восстановление после сбоев, подотчетность, аудит, правила повторного использования  объектов доступа, точность информации, надежность обслуживания, обмен данными. Например, для реализации функций  идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер «KERBEROS», а  для защиты компьютерных сетей —фильтрующие маршрутизаторы, сетевые анализаторы  протоколов (экраны) типа Firewall/Plus, Firewall/1, пакеты фильтрующих программ и т. д. Чтобы «объект» оценки можно было признать надежным, необходима определенная степень уверенности, которая декларируется  как гарантированность безопасности, включающая в себя два компонента — эффективность и корректность механизмов безопасности (средств защиты). В некоторых источниках гарантированность  также называют адекватностью средств  защиты. При проверке эффективности  анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности — их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие эффективности включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. По ITSEC декларируются три степени мощности (базовая, средняя, высокая). При проверке корректности анализируются правильность и надежность реализации функций безопасности. По ITSEC декларируются семь уровней корректности — от Е0 до Е6. Общая оценка безопасности системы по ITSEC состоит из двух компонент — оценки уровня гарантированной эффективности механизмов (средств)безопасности и оценки уровня их гарантированной корректности.