4.7. Обеспечение информационной безопасности в компьютерных сетях
Обеспечение информационной безопасности является одним из необходимых аспектов ведения бизнеса в условиях агрессивной рыночной экономики.
В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.
Рассматривая информацию как товар, можно сказать, что обеспечение информационной безопасности в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.
Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности.
Список типовых решений по проектированию и разработке систем информационной безопасности:
Защита периметра информационной системы
Защищенный удаленный доступ к информационным ресурсам
Защищенный доступ в Интернет
Защищенный информационный портал
Автоматизированные системы в защищенном исполнении
Защита от действий инсайдера
Защита персональных данных
Защита от вредоносного мобильного кода
Фильтрация контента
Высокопроизводительные системы защиты каналов (VPN)
Системы анализа защищенности информационных ресурсов
Проектирование и разработка систем информационной безопасности – это всегда индивидуальные решения, основанные на специфике бизнеса заказчика, поэтому информационная безопасность может быть обеспечена множеством способов, и, вполне вероятно, что конкретное обеспечение информационной безопасности не попадет в список типовых решений.
Обеспечение информационной безопасности и проектирование системы по защите информации, как правило, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Это обусловлено тем, что для разных категорий субъектов характер задач по обеспечению информационной безопасности может существенно различаться. Например, задачи, решаемые администратором информационной системы в государственной организации или администратором локальной сети в частной компании, в значительной степени отличаются от задач, решаемых пользователем на домашнем компьютере. Обеспечение информационной безопасности для каждого из этих случаев будет строиться различными способами и при помощи различных инструментов.
Информация с точки зрения информационной безопасности обладает следующими категориями:
конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена;
целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений (нарушение этой категории называется фальсификацией сообщения);
аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор;
апеллируемость – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой.
В отношении информационных систем применяются иные категории:
надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;
точность – гарантия точного и полного выполнения всех команд;
контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;
контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Особенности защиты на разных уровнях АС
| Уровни | Назначение | Особенности защиты |
| Прикладное программное обеспечение (ПО) | взаимодействие с пользователем | встроенные защитные модули достаточно эффективны, однако в большинстве случаев применяются атаки на уровне ОС с целью получить доступ к информации средствами ОС |
| Система управления базами данных (СУБД) | хранение и обработка данных АС | СУБД имеет строго определенную внутреннюю структуру и четко заданные допустимые операции над своими элементами, что упрощает решение задачи защиты; атаки на уровне ОС |
| Операционная система (ОС) | обслуживание СУБД и прикладного ПО | защищать ОС гораздо сложнее, чем прикладное ПО, поскольку внутренняя структура современных ОС чрезвычайно сложна |
| Сеть | взаимодействие узлов АС | сетевое ПО является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищен
|
Наиболее эффективными являются методы защиты компьютерной информации на уровне ОС. От уровня реализации безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы. Однако не все операционные системы могут считаться защищенными
Ошибки, приводящие к возможности атак на информацию
Двумя основными классами ошибок при разработке программного обеспечения, приводящими к потенциальной возможности проведения атак на информацию, являются интерференция данных и нарушение неявных ограничений.
Интерференция (непредусмотренное взаимодействие) данных между собой и данных с кодом является менее распространеным, но более опасным синдромом, чем описываемая ниже проблема ограничений по умолчанию. Практически единственным способом вызвать наслоение данных друг на друга либо данных на код программы является попытка дойти при операции записи до границы области памяти, отведенной под данный блок информации, и преодолеть ее – то есть умышленное переполнение буфера. Естественно, что это возможно только в тех ситуациях, когда программный код не производит проверки длины записываемого значения.
Проблема ограничений, которые разработчик программы считает само собой разумеющимися, но которые на самом деле могут не выполняться, встречается гораздо чаще, но реже приводит к каким-либо серьезным последствиям. Чаще всего результатом обработки подобных данных становится прерывание работы программы с сообщением об ошибке или просто "зависание". То есть данный класс атак используется с целью проведения атаки "отказ в сервисе".
Типовые методы защиты информации в АС
| Направление защиты | Методы защиты |
| конфиденциальность |
|
| целостность |
|
| доступность |
на уровне данных – резервное копирование, на уровне приложений – использование альтернативного программного обеспечения,
|
Компьютерным вирусом называется специально написанная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, вычислительные сети и т.п. При этом копии сохраняют способность дальнейшего распространения.
Деятельность компьютерных вирусов может ограничиваться лишь уменьшением доступной памяти, звуковыми, графическими эффектами или привести к серьезным сбоям в работе, потере программ, уничтожению данных и полной деградации системы.
- А.М. Петрова
- Раздел 1. (Модуль1) Информационные процессы, системы и технологии Тема 1. Основные понятия информатики и информатизация общества
- Тема 2. Основные сведения об информации и информационных процессах
- Тема 3. Информационные системы и технологии
- 3.1. Особенности (специфика) современных систем управления предприятием
- 3.2. Компьютерные технологии интеллектуальной поддержки управленческих решений
- 3.3. Case-средства. Общая характеристика и классификация
- 3.4. Реинжиниринг бизнес-процесcов
- 3.5. Использование olap и oltp технологий
- 3.6. Экспертные системы
- 3.7. Нейросетевые технологии
- Контрольные вопросы к разделу 1
- Раздел 2. (Модуль2) Технические и программные средства информатики Тема 4. Компьютерные системы и сети
- 4.1. Архитектура пэвм
- 4.2. Компьютерные сети
- 4.3. Технологии работы в компьютерных сетях
- 4.4. Информационные интернет – технологии
- 4.5. Сетевые информационные технологии
- 4.6. Концепция Грид-вычислений
- 4.7. Обеспечение информационной безопасности в компьютерных сетях
- Основные типы компьютерных вирусов
- Тема 5. Программное обеспечение персонального компьютера
- Тема 6. Программирование на объектно-ориентированном языке Visual Basic
- 6.1. Основы алгоритмизации
- Алгоритм
- 6.2. Основы моделирования
- 6.3. Языки программирования
- 6.4. Основные понятия языка Visual Basic
- Integer Короткое целое числовое значение, занимает 2 байта.
- Вычисление арифметического выражения и оператор присваивания.
- Обработка символьных данных Конкатенация строк
- Программирование ветвлений
- Условный оператор if
- Методы Print и Cls
- Программирование циклов
- Модульный принцип построения проекта и программного кода.
- Область определения и время жизни переменных
- Запись в файл
- Чтение из файла
- Контрольные вопросы к теме 6
- Контрольные вопросы к разделу 2
- Раздел 3. (Модуль3) Информационные технологии обработки текстовых документов Тема 7. Офисное программное обеспечение
- 7.1. Электронный офис
- 7.2. Электронные документы
- 7.3. Электронная цифровая подпись и автоматизация сэд
- 7.4. Защита электронного документооборота.
- Тема 8. Основы работы с текстовыми документами
- 8.1. Основы работы с текстовым процессором word.
- Контрольные вопросы раздела 3
- Раздел 4. (Модуль4) Информационные технологии обработки таблиц
- 4.1. Организация финансово-экономических расчетов в электронных таблицах.
- Тема 9. Организация вычислений в электронных таблицах
- Тема 10. Создание и редактирование диаграмм
- Тема 11. Основные средства анализа данных, содержащихся в таблицах
- Тема 12. Автоматизация расчетов в электронных таблицах
- Контрольные вопросы к разделу 4
- Раздел 5. (Модуль5) Основы работы с базами данных Тема 13. Основные сведения о базах данных
- Тема 14. Субд Access и ее структура
- Тема 15. Работа с таблицами Access
- Тема 16. Конструирование запросов
- Тема 17. Конструирование форм и отчетов
- Тема 18. Средства автоматизации субд
- Контрольные вопросы к разделу 5