Способы защиты информации

1

23

НМИНИСТЕРСТВО СВЯЗИ И ИНФОРМАТИЗАЦИИ

РЕСПУБЛИКИ БЕЛАРУСЬ

Учреждение образования

"ВЫСШИЙ ГОСУДАРСТВЕННЫЙ КОЛЛЕДЖ СВЯЗИ"

КОНТРОЛЬНАЯ РАБОТА

по дисциплине: "Способы защиты информации"

Выполнил: студент

6 курса группы ТЭ262

Жук В.П..

Проверил: Киркоров С.И.

МИНСК 2005

ЗАДАНИЕ

Опишите угрозы безопасности для персонального компьютера руководителя районного узла электросвязи, подключенного в локальную вычислительную сеть.

Разработайте политику безопасности.

Выберите технические средства и разработайте регламент работы, которые помогут реализовать политику безопасности.

Обоснуйте экономическую целесообразность принятых решений.

Введение

Проблема защиты информации в компьютерных системах коллективного пользования напрямую связана с решением двух главных вопросов:

обеспечение сохранности информации;

контроль доступа к информации (обеспечение конфиденциальности).

Оба этих вопроса тесно взаимосвязаны и не могут решаться в отдельности. Сохранности информации означает защиту ее от разрушения и сохранение структуры хранимых данных. Поэтому решение этого вопроса прежде всего означает использование надежных компьютеров и отлаженных программных комплексов.

Система контроля доступа к информации должна обеспечивать надежную идентификацию пользователей и блокировать любые попытки несанкционированного чтения и записи данных. В то же время система контроля не должна снижать производительность работы информационных систем и сужать круг решаемых задач. При этом контроль должен осуществляться как со стороны информационных центров, та и со стороны абонентских ЭВМ, связанных с информационными центрами.

Вопросы контроля со стороны информационных центров решаются в каждом случае особо, в зависимости от их конкретной архитектуры.

В свою очередь вопрос контроля со стороны абонентских ЭВМ касается не только одиночных ЭВМ, но и ЭВМ, работающих в локальных сетях.

В подавляющем большинстве случаев в качестве абонентских ЭВМ используются персональные компьютеры. В качестве базовой операционной системы, как правило, используется Windows или DOS благодаря их простоте и большому количеству прикладных программ, работающих под их управлением. Однако указанные операционные системы не позволяют решить вопрос контроля доступа и, в частности, вопрос надежной идентификации пользователя, что связано со следующими их особенностями:

использование незащищенного режима работы ЭВМ, дающего возможность контролировать работу не только прикладных программ, но и самой операционной системы;

практически полная незащищенность файловой системы.

Ставшие популярными в последнее время новые операционные системы, такие, как OS/2 и Windows NT, также не позволяют полностью решить упомянутые проблемы, что, по-видимому, объясняется тем, что за рубежом не разрабатываются серьезные программные комплексы для персональных компьютеров.

Поэтому, хотя новые системы и работают в защищенном режиме, однако в них отсутствуют полноценные средства разрешения ресурсов ЭВМ и, в частности, дискового пространства. Последнее является одной из причин того, что вирусы, заражающие DOS, почти также легко заражают и новые операционные системы а, следовательно, не решается вопрос сохранности данных. К тому же структура этих систем и их файловых систем общеизвестны и не могут изменяться без их радикальной переделки.

В то же время создание специализированных операционных систем также нецелесообразно, так как потребуется длительное время на их разработку и тестирование. Кроме того, в этом случае сложно обеспечить работоспособность прикладных программ, разработанных для существующих операционных систем и, как следствие, - совместимость с зарубежными информационными системами.

Сильное влияние на безопасность оказывает сетевая ОС. Различные ОС обладают разной степенью защищенности, однако с точки зрения перспективы развития сетей наиболее насущной является задача стыковки различных ОС. Оснащенная механизмами защиты версия ОС Unix может плохо стыковаться с другими ОС, чрезвычайно затрудняя управление безопасностью. Вплоть до того, что две версии одной и той же ОС Unix могут настолько отличаться одна от другой, что более разумным решением будет использование некоего третьего пакета защиты. Разумеется, это потребует дополнительных затрат, которые, однако, окупятся благодаря возможности встречной работы различных ОС.

Наличие в распределенных системах файлов коллективного пользования (общих файлов) обусловливает необходимость использования специализированной файловой системы. Как и операционные, файловые системы обладают различной степенью защищенности.

Широкомасштабное использование вычислительной техники и телекоммуникационных систем в рамках территориально-распределенной сети, переход на этой основе к безбумажной технологии, увеличение объемов обрабатываемой информации, расширение круга пользователей приводят к качественно новым возможностям несанкционированного доступа к ресурсам и данным информационной системы, к их высокой уязвимости.

Особенно остро стоит проблема обеспечения юридической значимости электронных документов, обработка которых осуществляется в информационных системах различного уровня.

В качестве наиболее приемлемого метода целесообразно использовать цифровую подпись электронных документов на основе несимметричного криптографического алгоритма, которая обеспечивает не только юридическую значимость, но также защиту целостности и аутентификацию документов.

Одним из аспектов обеспечения безопасности информации в ИС является придание юридической значимости электронным документам, которые, в отличие от бумажных, более уязвимы, и не обладают юридическими реквизитами (подпись, печать и др.).

Криптографические методы, в частности, цифровая подпись, позволяют создать уникальные реквизиты электронных документов, практически не подлежащие подделке и создающие основу для признания их юридической значимости.

Проблема защиты электронных документов

В совместных ИС предусматривается постепенный переход к безбумажной технологии, под которой понимается система взаимосвязанных способов решения задач, не требующих обязательного обмена документами на бумажных носителях. Безбумажная технология предусматривает электронное представление информации, при этом электронный документ ассоциируется с машинным носителем (гибкие и жесткие диски, CD и др.). Бумажный вариант такого документа рассматривается как вторичный.

ИС предполагает автоматизацию подготовки и обмена разнообразными электронными документами, в число которых, в частности, входят: инструкции, отчеты, справочные и другие рабочие документы, используемые должностными лицами и пользователями, а также рабочие документы, циркулирующие между подразделениями и внешними организациями.

К числу проблем, возникающих при переходе к безбумажной технологии, относится отсутствие юридической значимости электронных документов.

В частности, правила делопроизводства требуют наличия в документах реквизитов установленного вида (печатей, факсимильных подписей, водяных знаков и др.), которые могут служить основанием для юридического решения спорных ситуаций, связанных с содержанием документа. Для юридического доказательства подлинности, целостности, фактов формирования и доставки бумажных документов предусматривается создание нескольких копий документов, использование услуг доверенных третьих лиц (например, нотариальная заверка документов, образцов печатей и подписей, хранение документов и др.), определенные правила учета исходящих и входящих документов, расписки в получении документов и т.п. Все указанные механизмы, в том числе и ответственность за нарушение правил делопроизводства и подделку документов, поддержаны законодательством.

Документы, обрабатываемые в компьютерной системе и имеющие электронное представление, по своей физической природе не имеют реквизитов, присущих бумажным документам. Кроме того, они в значительной степени уязвимы как перед случайным искажением, так и перед злоумышленной манипуляцией.

За неимением механизмов защиты, фальсификация электронных документов достаточно проста и может вообще не поддаваться обнаружению, причем в роли злоумышленника могут выступать законные отправитель и получатель документа, либо третья сторона.

Электронный документ должен иметь юридически значимые реквизиты, позволяющие получателю убедиться в целостности со стороны получателя. Как и в бумажных документах, этот реквизит должен легко вырабатываться законным отправителем, легко проверяться законным получателем и быть сложным для подделки. При возникновении спорной ситуации этот реквизит должен поддаваться экспертизе независимой третьей стороны.

В настоящее время основным средством защиты от указанных угроз и обеспечения юридической значимости электронного документа является электронная (цифровая) запись.

В ИС должна обеспечиваться юридическая значимость всех электронных документов, которые в юридических целях предполагается параллельно изготавливать в бумажном исполнении. На начальном этапе целесообразно подвергать защите отчетные и статистические материалы, архивные данные, электронные документы, циркулирующие между подразделениями и внешними организациями.

Важна также разработка правовой базы, определяющей порядок рассмотрения и принятия арбитражных решений в спорных ситуациях, связанных с указанными электронными документами.

Таким образом, к основным задачам защиты электронных документов относятся:

разработка предложений по выбору технических методов, обеспечивающих защиту и юридическую значимость критичных электронных документов, циркулирующих в ИС;

разработка предложений по правовой поддержке юридической значимости электронных документов.

1. Опишите угрозы безопасности для персонального компьютера руководителя районного узла электросвязи, подключенного в локальную вычислительную сеть

Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС (локальная вычислительная сеть). Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п. Непосредственный вред, вызванный угрозой, называется воздействием угрозы.

Уязвимыми местами являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.

2. Разработайте политику безопасности

Информация, используемая в ЛВС РУЭС, является критической для выполнения организацией своих задач. Размер и сложность ЛВС в пределах увеличилась и теперь она обрабатывает критическую информацию. Из-за этого должны быть реализованы определенные меры и процедуры безопасности для защиты информации, обрабатываемой в ЛВС. ЛВС обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих ПК. Эти усиленные требования к защите в вычислительной среде РУЭСа послужили причиной появления этой политики, которая касается использования ЛВС.

Эта политика имеет две цели. Первая - подчеркнуть для всех служащих важность безопасности в среде ЛВС и явно указать их роли при поддержании этой безопасности. Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой ЛВС.

Степень детализации

Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью , охватываются этой политикой. Она одинаково применима к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах среды ЛВС РУЭСа. Ресурсы ЛВС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к ЛВС, включая всех служащих РУЭС, поставщиков и работающих по контракту, которые используют ЛВС.

Страницы: 1, 2