9.1. Виды угроз безопасности эис
Развитие и широкое применение электронной вычислительной техники в промышленности, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности являются в настоящее время приоритетным направлением научно-технического прогресса. Эффект, достигаемый за счет применения вычислительной техники, возрастает при увеличении масштабов обработки информации, то есть концентрации по возможности больших объемов данных и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные вычислительные сети и автоматизированные системы управления. Масштабы и сферы применения этой техники стали таковы, что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности циркулирующей в ней информации. Безопасность информации - это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающихся в утечке, модификации или утрате данных, представляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного несанкционированного доступа человека-нарушителя.
Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.
Зарубежные публикации последних лет показывают, что злоупотребления информацией, передаваемой по каналам связи, совершенствовались не менее интенсивно, чем средства их предупреждения. В этом случае для защиты информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации. Сегодня рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных.
Утечка информации заключается в раскрытии какой-либо тайны: государственной, военной, служебной, коммерческой или личной.
Защите должна подлежать не только секретная информация. Модификация несекретных данных может привести к утечке секретных либо к не обнаруженному получателем приему ложных данных. Разрушение или исчезновение накопленных с большим трудом данных может привести к невосполнимой их утрате. Специалистами рассматриваются и другие ситуации нарушения безопасности информации, но все они по своей сути могут быть сведены к перечисленным выше событиям. В зависимости от сферы и масштабов применения той или иной системы обработки данных потеря или утечка информации может привести к различной тяжести последствиям: от невинных шуток до исключительно больших потерь экономического и политического характера.
В прессе и технической литературе приводится масса подобных примеров. Особенно широкий размах получили преступления в автоматизированных системах, обслуживающих банковские и торговые структуры. По зарубежным данным, потери в банках в результате компьютерных преступлений ежегодно составляют от 170 млн. до 41 млрд. дол.
Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем обнаружило слабые места в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.
Проблема безопасности информации в нашей стране не менее актуальна. Уже в середине 90-х годов появились факты компьютерных преступлений в России. В 1994 г. с компьютера, установленного в Петербурге, сумели проникнуть в компьютерную систему Ситибанка и незаконно перевести 2,8 млн. дол. на счета своих сообщников в США, Швейцарии, Нидерландах и Израиле; случай в филиале Инкомбанка, служба безопасности которого поймала даму, бухгалтера этого филиала, переводившую незаконно доллары на счета своих сообщников (Известия, 1995, сентябрь). По сообщению МВД России, в 1993 г. была совершена попытка хищения более 68 млрд. руб. путем манипуляций с данными ЦБ РФ.
Таким образом, в настоящее время благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами.
К таким объектам (их называют критическими) можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации. Для нормального и безопасного функционирования этих систем необходимо поддерживать их безопасность и целостность.
Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процесса функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
К основным угрозам безопасности информации относят:
• раскрытие конфиденциальной информации; • компрометация информации; • несанкционированное использование информационных ресурсов; • ошибочное использование информационных ресурсов; • несанкционированный обмен информацией; • отказ от информации; • отказ в обслуживании.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц) другими лицами, наносит ее владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой - имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам и администрации. Этот ущерб может варьироваться в весьма широких пределах - от сокращения поступления финансовых средств до полного выхода АИТ из строя.
Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в программном обеспечении АИТ.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания банковской информации.
Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. В условиях банковской деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб.
Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода времени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных или даже антимонопольных действий.
Наиболее распространенными путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:
• перехват электронных излучений; • принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей; • применение подслушивающих устройств (закладок); • дистанционное фотографирование; • перехват акустических излучений и восстановление текста принтера; • хищение носителей информации и документальных отходов; • чтение остаточной информации в памяти системы после выполнения санкционированных запросов; • копирование носителей информации с преодолением мер защиты; • маскировка под зарегистрированного пользователя; • мистификация (маскировка под запросы системы); • использование программных ловушек; • использование недостатков языков программирования и операционных систем; • включение в библиотеки программ специальных блоков типа «Троянский конь»; • незаконное подключение к аппаратуре и линиям связи; • злоумышленный вывод из строя механизмов защиты; • внедрение и использование компьютерных вирусов.
Особую опасность в настоящее время представляет проблема компьютерных вирусов, так как с учетом большого числа разновидностей вирусов надежной защиты против них разработать не удается. Все остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.
Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Целостность понимается как способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения.
Угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему (ВС), которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой.
Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества.
Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в ВС информации путем осуществления несанкционированного доступа (НСД) к объектам ВС. НСД заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует. Реализация угрозы называется атакой. Человек, стремящийся реализовать угрозу, называется нарушителем, или злоумышленником.
Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, целям атаки и т.д.
Рассмотрим общую классификацию угроз безопасности ВС по средствам воздействия на ВС. С этой точки зрения все угрозы могут быть отнесены к одному из следующих классов.
1. Вмешательство человека в работу ВС. К этому классу относятся организационные средства нарушения безопасности ВС (кража носителей информации, НСД к устройствам хранения и обработки информации, порча оборудования и т.д.) и осуществление нарушителем НСД к программным компонентам ВС (все способы несанкционированного проникновения в ВС, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам ВС). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам ВС), а также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (например, попыток подбора паролей).
2. Аппаратно-техническое вмешательство в работу ВС. Имеется в виду нарушение безопасности и целостности информации в ВС с помощью технических средств, например, получение информации по электромагнитному излучению устройств ВС, электромагнитные воздействия на каналы передачи информации и другие методы. Защита от таких угроз, кроме организационных мер, предусматривает соответствующие аппаратные (экранирование излучений аппаратуры, защита каналов передачи информации от прослушивания) и программные меры (шифрация сообщений в каналах связи).
3. Разрушающее воздействие на программные компоненты ВС с помощью программных средств. Логично назвать такие средства разрушающими программными средствами (РПС). К ним относятся компьютерные вирусы, троянские кони (иногда их называют "закладки"), средства проникновения в удаленные системы с использованием локальных и глобальных сетей. Средства борьбы с подобными атаками состоят из программно и (реже) аппаратно реализованных систем защиты. Данный класс средств нарушения безопасности представляет собой наиболее динамично развивающуюся угрозу, использующую все последние достижения в области информационных технологий.
- Министерство образования рф
- Введение
- Часть 1. Основные понятия информационных систем и информационных технологий
- 1. Информационный ресурс -основа информатизации экономической деятельности
- 2. Возникновение информационных технологий
- 3. Понятие систем и системного анализа
- 3.1. Основные понятия теории систем и системного анализа.
- 3.2. Свойства и признаки систем
- Другая система
- 3.3. Принципы системного подхода.
- 3.4. Системообразующие и системоразрушающие факторы
- 3.4.1. Системообразующие факторы
- 3.4.2. Системоразрушающие факторы
- 3.5. Система и внешняя среда
- 3.6. Структура, функции и этапы развития систем
- 3.7. Принципы системного подхода
- 3.8. Механизм процесса описания системных объектов
- 4.Информационные технологии и преобразование информации в данные.
- Технология
- 4.1. Концептуальный уровень информационной технологии
- 4.2. Логический уровень информационной технологии.
- 4.3 Физический уровень информационной технологии.
- 4.4 Процесс превращения информации в данные.
- 4.5 Информатика и информационная технология
- 5. Управление в системах
- 5.1. Управление как процесс целенаправленной переработки информации
- 5.2. Схема системы управления
- 5.3. Информационные модели
- 5.4 Роль и место человека и информационной технологии в автоматизированном управлении
- 5.5 Процесс принятия решения
- Вопросы для самопроверки
- Часть 2. Информационные экономические системы
- 6. Основные понятия и структура автоматизированных информационных технологий и систем в экономике
- 6.1. Классификация существующих информационных технологий и систем
- 6.2. Автоматизированные информационные технологии, их развитие и классификация
- 6.3. Проблемы использования информационных технологий
- 6.4. Виды информационных технологий
- 6.4.1. Информационная технология обработки данных
- База данных
- 6.4.2. Информационная технология управления
- 6.4.3. Автоматизация офиса
- 6.4.4. Информационная технология поддержки принятия решения
- 6.5. Этапы развития информационных систем
- 6.6. Основные понятия информационных систем
- 7. Методика создания автоматизированных информационных систем и технологий
- 7.1. Структура и состав информационной системы
- Информационные системы
- Техническая подготовка производства
- Промышленного предприятия
- Информационное обеспечение
- Рис 7.3. Структура информационной системы как совокупность обеспечивающих подсистем
- 7.2. Проектирование: стадии и этапы создания аис и аит
- 7.3. Особенности проектирования аит и аис
- 7.4. Содержание и методы ведения проектировочных работ
- 7.5. Роль пользователя в создании аис и аит и постановке задач
- 7.6. Технология постановки задачи
- 8. Типы, виды и оценка и области применения информационных систем
- 8.1. Классификация информационных систем по функциональному признаку
- 8.2. Виды автоматизированных информационных систем в организации
- 8.2.1. Информационная система оперативного уровня
- 8.2.2. Информационные системы специалистов
- 8.2.3. Информационные системы для менеджеров среднего звена
- 8.2.4. Стратегические информационные системы
- 8.2.5. Информационная система по отысканию рыночных ниш.
- 8.2.6. Информационные системы, ускоряющие потоки товаров.
- 8.2.7. Информационные системы по снижению издержек производства.
- 8.2.8. Информационные системы автоматизации технологии("менеджмент уступок").
- 8.3. Классификация информационных систем по характеру использования информации и сфере применения
- 8.3.1. Классификация по характеру использования информации
- 8.3.2. Классификация по сфере применения
- 8.4. Основные Типы автоматизированных информационных систем
- 9. Проблемы безопасности информации в информационных системах
- 9.1. Виды угроз безопасности эис
- 9.2. Методы и средства защиты информации в экономических информационных системах
- Методы средства
- 9.3. Основные виды защиты, используемые в аит банковской деятельности
- Часть 3. Интегрированные информационные технологии и системы формирования, обработки и представления данных в экономике
- 10. Автоматизированные информационные технологии в бухгалтерском учете
- 10.1. Назначение бухгалтерских систем в управлении предприятиями.
- 10.2. Бухгалтерские ис на крупных предприятиях.
- 10.3. Особенности функционирования буис на предприятиях малого и среднего бизнеса.
- 10.4. Основные характеристики бухгалтерских информационных систем
- 10.4.1. Основные характеристики аис 1с: предприятие
- 10.4.2. Основные характеристики аис бэст
- Первичный
- 10.4.2. Основные характеристики аис парус
- 11. Автоматизированные информационные технологии в банковской деятельности
- 11.1. Специфика организации банковского дела в россии
- 11.2. Проблемы создания автоматизированных банковских систем
- 11.3. Особенности информационного обеспечения автоматизиро-ванных банковских технологий
- 11.4. Технические решения банковских технологий
- 11.5. Программное обеспечение информационных технологий в банках
- 11.6. Функциональные задачи и модули банковских систем
- 11.7. Автоматизация межбанковских расчетов
- Основные характеристики аис разработки и оценки инвестиционных проектов
- 12.1. Производственный процесс и его обеспечение.
- 12.2. Бизнес-план как средство выражения идей развития фирмы
- 12.3. Стадии разработки бизнес-планов
- 12.4. Использование информационных систем для бизнес - планирования
- 12.5 Краткая характеристика пакета Project Expert
- 13. Общая характеристика аис управления проектами
- 13.1. Базовые функциональные возможности систем управления
- 13.2. Характеристики наиболее распространенных систем управления проектами
- 13.2.1. Microsoft Project
- 13.2.2.TimeLine6.5
- 13.2.3. Primavera Project Planner (p3)
- 13.2.4.SureTrak
- 13.2.5.ArtemisViews
- 13.2.6. Spider Project
- 13.2.7. Open Plan Welcom Software
- 14. Справочно-правовые информационные системы
- 14.1. Система "Консультант Плюс"
- 14.2. Система "Гарант"
- 14.3. Информационная система “Договор”
- 15. Экспертные системы.
- 15.1. Характеристика и назначение экспертных систем
- 15.2. Основные компоненты информационной технологии экспертных систем.
- Р инструкции и информация решение и объяснения знанияис. 15.1. Структура экспертной системы
- 16.Нейросетевые технологии в финансово - экономической деятельности
- 17. Автоматизированные информационные технологии формирования, обработки и представления данных в налоговой службе
- 17.1. Автоматизированная информационная система (аис) «Налог»
- 17.2. Характеристика функциональных задач, решаемых в органах налоговой службы.
- 17.3. Особенности информационного обеспечения аис налоговой службы
- 17.4. Особенности информационных технологий, используемых в органах налоговой службы
- 18. Автоматизированные информационные технологии в казначействе
- 18.1. Создание казначейских органов и перспективы их развития
- 18.2. Информационное обеспечение органов казначейства
- 18.3. Организация автоматизированной информационной технологии в органах казначейства
- 18.4. Терминальная архитектура автоматизированной информационной системы казначейства
- 18.5. Архитектура «клиент - сервер» автоматизированной информационной технологии казначейства
- 18.6. Организация коммуникационной системы органов казначейства
- 19. Пластиковые карточки в россии
- 19.1. Что такое пластиковая карточка
- 19.2. Микропроцессорные карточки
- 20. Автоматизация в торговле
- 20.1. Автоматизация учета в торговле
- 20.2. Штрихкоды как средство автоматизации торговых расчетов
- 20.3. Безналичные расчеты с покупателем
- 21. Управленческие автоматизированные информационные системы
- 21.1. Концепция интегрированной управленческой аис
- 21.2. Основные требования к интегрированной аис.
- 22. Системы управления электронным документооборотом
- 23. Автоматизация работы с персоналом
- 24. Корпоративные информационные системы: технологии и решения
- 24.1. Введение
- 24.2. Структура корпоративной информационной системы
- 24.3. Заключение
- 25. Электронные каналы маркетинга и дистрибуции
- 26. Информационные технологии в туризме
- 26.1. Пути развития и эффективность внедрения новых информационных технологий в туризме
- 26.2. Классификация специалистов и классы задач, решаемых в туристском офисе
- 26.3. Прикладные программы по формированию, продвижению и реализации туристского продукта
- 26.3.1. Анализ рынка прикладных программ автоматизации туристского офиса
- 26.3.2. Программа Само-Тур
- 26.3.3. Программа ТурбоТур
- 26.3.4. Пакет прикладных программ Туристский офис
- 6. Финансовый модуль:
- 26.3.5. Система интеграции сети розничной продажи туристских услугTravelnet-2000
- 26.3.6. Программа автоматизации работы в турофисе «TurWin»
- 26.3.7. Программа "TourPilot
- 26.3.8. Программа "Business Tour"
- 26.4. Автоматизированные системы бронирования и резервирования в туризме
- 26.4.1. Отечественные системы резервирования
- 26.4.2. Зарубежные системы бронирования и резервирования
- Система Амадеус (Amadeus Global Travel Distribution, www.Global.Amadeus.Net)
- 26.5. Отечественные системы бронирования мест размещения
- 26.5.1. Система Ключ
- 26.5.2. Система Туринтел (www.Tourintel.Ru)
- 26.5.3. Система Тур Резерв (www.Tours.Ru)
- 26.6. Комплексная автоматизация гостиниц
- 26.6.1. Гостиничная асу (pms) "Эдельвейс" - ядро комплекса.
- 26.6.2. Работа с другими программами и системами
- 25.6.3. Программы автоматизации объектов питания и развлекательных комплексов
- 26.7. Бэст-про (приложение "администратор гостиницы")
- 26.8. Использование глобальной компьютерной сети Internet в практике туристского бизнеса
- 26.8.1. ВозможностиInternetв формировании, продвижении и реализации туристского продукта
- 26.8.2. Участие в международных туристских выставках и ярмарках в сетиInternet
- 26.8.3. Электронная система бронирования и резервирования туристских услуг вInternet
- 26.8.5. Другие возможности использованияInternetдля туризма