Вопрос 69. Защита информации от несанкционированного доступа. Методы и средства защиты информации. Комплексная система защиты информации. Защита информации при работе в Интернет.
Защита информации от несанкционированного доступа
Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Электронные средства хранения даже более уязвимы, чем бумажные: размещаемые на них данные можно и уничтожить, и скопировать, и незаметно видоизменить.
Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год. Одной из причин является сумма денег, получаемая в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов.
Методы защиты информации.
Установка препятствия — метод физического преграждения пути злоумышленнику к защищаемой информации, в т.ч. попыток с использованием технических средств съема информации и воздействия на нее.
Управление доступом — метод защиты информации за счет регулирования использования всех информационных ресурсов, в т.ч. автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
• аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка — метод защиты информации с использованием инженерных, технических средств, а также путем криптографического закрытия информации.
Маскираторы аналогово-цифровые статические.
Скремблеры - маскираторы аналогово-цифровые динамические.
Вокодеры - устройства, передающие речь в цифровом виде и зашифрованном.
Методы защиты информации на практике реализуются с применением средств защиты.
Средства защиты информации.
Средства защиты информации можно разделить на:
1. Средства, предназначенные для защиты информации. Эти средства не предназначены для непосредственной обработки, хранения, накопления и передачи защищаемой информации, но находящиеся в одном помещении с ними.
Делятся на:
пассивные – физические (инженерные) средства, технические средства обнаружения, ОС, ПС, СКУД, ВН, приборы контроля радиоэфира, линий связи и т.п.;
активные – источники бесперебойного питания, шумогенераторы, скремблеры, устройства отключения линии связи, программно-аппаратные средства маскировки информации и др.
2. Средства, предназначенные для непосредственной обработки, хранения, накопления и передачи защищаемой информации изготовленные в защищенном исполнении. НИИЭВМ РБ разрабатывает и выпускает защищенные носимые, возимые и стационарные ПЭВМ.
3. Средства, предназначенные для контроля эффективности защиты информации.
Принципы построения комплексной системы защиты информации
При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат.
Internet нужно предусмотреть следующее:
Во-первых, ликвидировать физическую связь между будущей Internet (которая превратится во Всемирную информационную сеть общего пользования) и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web.
Во-вторых, заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к простой операции сравнения MAC-адресов.
В-третьих, перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (MAC-уровень), привязанное к географическому расположению сети, и позволяющее в рамках 48-бит создать адреса для более чем 64 триллионов независимых узлов.
Безопасность данных является одной из главных проблем в Internet. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Разумеется, все это не способствует популярности Internet в деловых кругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически равные шансы стать жертвами компьютерного террора.
В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.
В банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк (кроме наличных денег и еще кое-чего), существуют лишь в виде той или иной информации. Во-вторых, банк не может существовать без связей с внешним миром: без клиентов, корреспондентов и т. п. При этом по внешним связям обязательно передается та самая информация, выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностях и их движении, которые иногда стоят дороже самих ценностей). Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана a priori.
Стоит отметить, что эти соображения справедливы по отношению не только к автоматизированным системам, но и к системам, построенным на традиционном бумажном документообороте и не использующим иных связей, кроме курьерской почты. Автоматизация добавила головной боли службам безопасности, а новые тенденции развития сферы банковских услуг, целиком основанные на информационных технологиях, усугубляют проблему.
- Вопрос 1. Определение информатики. Появление и становление информатики. Источники информатики.
- Вопрос 2. Предмет, задачи и методы информатики. Экономическая информатика.
- Вопрос 4. История развития вычислительной техники
- Вопрос 5. Информационное общество. Роль информатизации в развитии общества.
- Вопрос 5. Информационный потенциал общества
- Вопрос 7. Информационные ресурсы общества
- Вопрос 8. Информационные продукты и услуги
- Вопрос 9. Рынок информационных продуктов и услуг
- Вопрос 10. Информация. Данные. Технократический, антропоцентрический, недетерминированный подходы к информации.
- Вопрос 11. Единицы информации. Свойства информации.
- Вопрос 12. Классификация информации (по способу восприятия человеком, по способу отображения, по функциям управления, по стадиям обработки, по стабильности, по месту возникновения и т.Д.).
- Вопрос 13. Экономическая информация. Особенности экономической информации.
- Вопрос 14. Кодирование информации
- Вопрос 15. Информационные процессы: понятие, этапы
- Вопрос 16. Классификация компьютеров.
- Вопрос 17. Поколения эвм
- Вопрос 18. Понятие архитектуры и структуры компьютера. Структурная схема персонального компьютера
- Вопрос 19. Состав системного блока (назначение и характеристики основных устройств)
- Вопрос 20. 20. Материнская плата. Устройства, входящие в состав материнской платы, их назначение и характеристики.
- Вопрос 21. Устройства для хранения информации (назначение, виды и основные характеристики).
- Вопрос 22. Периферийные устройства (назначение, виды и основные характеристики).
- Вопрос 23. Устройства для ввода информации в компьютер (назначение, виды и основные характеристики).
- Вопрос 24. Устройства для вывода информации на печать (назначение, виды и основные характеристики)
- Вопрос 25. Программный продукт и программное обеспечение. Характеристика программного продукта. Программа.
- Вопрос 26. Категории специалистов, занятых разработкой программ
- Вопрос 27. Классификация программных продуктов. Показатели качества программ.
- Вопрос 28. Жизненный цикл программного продукта. Защита программных продуктов
- Вопрос 29. Системное программное обеспечение (сервисное и базовое). Состав, назначение, примеры.
- Вопрос 30. Операционные системы: назначение, классификация, примеры.
- Вопрос 31. Прикладные программы: назначение, классификация, примеры.
- Вопрос 32. Интегрированный программный продукт Microsoft Office (состав, назначение, особенности использования).
- Вопрос 33. Операционная система windows. Основные объекты и приемы управления windows. Главное меню. Окна.
- Вопрос 34. Понятие файловой структуры. Файлы и папки. Операции с файловой структурой.
- Вопрос 35. Стандартные программы windows. Служебные приложения.
- Вопрос 36. Текстовый процессор Microsoft Word. Общие сведения о текстовом процессоре. Интерфейс. Средства автоматизации разработки документов.
- Вопрос 37.Технология выполнения отдельных операций в текстовом редакторе
- Вопрос 38. Электронные таблицы Microsoft Excel. Общие сведения об электронных таблицах (интерфейс, возможности, назначение, средства для автоматизации обработки информации).
- Вопрос 40. Понятие моделирования и модели. Цель и задачи моделирования.
- Вопрос 41. Виды моделирования. Уровни моделирования. Моделирование в экономике.
- Вопрос 42. Системы счисления (позиционные, непозиционные).
- Вопрос 43. Правила перевода чисел из одной системы в другую (на примере систем счисления с основанием 2 8, 10, 16).
- Вопрос 44. Основы математической логики.
- Вопрос 45. Примеры логических функций. Таблицы истинности. Приоритет выполнения логических операций. Примеры вычисления задач.
- Вопрос 46. Алгоритм: определение, свойства алгоритмов
- Вопрос 47. Способы описания алгоритмов. Типовые алгоритмические конструкции. Примеры.
- Вопрос 48. Средства программирования. Языки программирования высокого и низкого уровня. Обзор языков программирования высокого уровня.
- Вопрос 49. Базы данных. Модели хранения данных.
- Вопрос 50. Реляционные базы данных. Основные понятия реляционных баз данных.
- Вопрос 51. Этапы создания базы данных. Информационно-логические модели баз данных. Создание межтабличных связей, их назначение, виды. Обеспечение целостности данных.
- Вопрос 52. Требования нормализации.
- Вопрос 53. Субд Microsoft Access. Свойства полей базы данных.
- Вопрос 54. Субд Microsoft Access Основные объекты (таблицы, запросы, формы, отчеты), их назначение и способы создания. Типы данных.
- Вопрос 55. Понятие компьютерной сети. Вычислительные и информационные сети.
- Вопрос 56. Компоненты компьютерной сети. Характеристики сети.
- Вопрос 57. Классификация компьютерных сетей по разным признакам (Локальные и глобальные сети).
- Вопрос 58. Логическая структура сети (базовая модель открытых систем). Характеристика уровней передачи данных.
- Вопрос 59. Протоколы (понятие, виды).
- Вопрос 60. Топология локальных сетей.
- Вопрос 61. Каналы передачи данных
- Вопрос 62. Интернет. Основные понятия. История и перспективы развития Интернет.
- Вопрос 63. Адресация в сети Интернет. Адресация информационных ресурсов. Url-адреса. Адресация компьютеров. Доменная система имен.
- Вопрос 64. Службы (сервисы) Интернет (обзор, наименования, назначения)
- Вопрос 65. Www: основные понятия. Поиск информации в World Wide Web. Поисковые системы (назначение, обзор, технология работы на примере …).
- Вопрос 66. Электронная почта. Функции почтовых клиентов. Технология приема и отправки сообщений.
- Вопрос 67. Необходимость защиты информации. Понятие угрозы информационной безопасности. Виды угроз информационной безопасности.
- Вопрос 68. Защита информации на уровне государства. Законодательная база.
- Вопрос 69. Защита информации от несанкционированного доступа. Методы и средства защиты информации. Комплексная система защиты информации. Защита информации при работе в Интернет.
- Вопрос 70. Безопасность пользователя при работе с компьютером. Техника безопасности
- Вопрос 71. Компьютерные вирусы: понятие, классификация, признаки заражения компьютера, средства защиты от компьютерных вирусов.
- Вопрос 72. Программные средства для сжатия данных (архивация). Самораспаковывающиеся архивы. Многотомные архивы. Теоретические основы сжатия данных (виды сжатия, коэффициент сжатия).