Реферат: Безопасность информации в информационных системах

Введение

Безопасность информации в информационных системах является очень важным вопросом. Так как, информация, находящаяся на электронных носителях играет большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, большое количество пользователей, работающих с этой информацией, анонимность доступа, передача информации по каналам связи, возможность «информационных диверсий»... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем скажем, сохранение тайны традиционной почтовой переписки.

Вследствие этого настоящая работа посвящена именно проблеме обеспечения информационной безопасности в электронных информационных системах.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, которая рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием устройств в сети, это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Автономно работающий компьютер можно эффективно защищать от внешних покушений разнообразными способами, например просто запереть на замок клавиатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, работающий в сети по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно даже удаленными от него на большие расстояния. Поэтому обеспечение безопасности в сети является задачей значительно более сложной.

Защита информации в информационных системах

Понятия безопасности

Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность – гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен.

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например , если мы публикуем информацию в Интернете на WEB-сервере и нашей целью является сделать ее доступной для широкого круга людей, то конфиденциальность в данном случае не требуется.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное программно-аппаратное обеспечение. В условиях ограничения на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении – у них нет возможности заказать и получить «под ключ» современную систему, имеющую сертификат безопасности.

Любое действие, которое направлено на нарушение конфиденциальности, целостности и доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Угрозы разделяют на два вида: умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. Так же эти угрозы могут возникнут вследствие технических сбоев.

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

- незаконное проникновение в один из компьютеров сети под видом легального пользователя;

- разрушение системы с помощью программ-вирусов;

- нелегальные действия легального пользователя;

- «подслушивание» внутрисетевого трафика;

Разделяют следующие способы защиты информации:

- способы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;

- способы повышения достоверности информации;

- способы защиты информации от аварийных ситуаций;

- способы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;

- способы разграничения и контроля доступа к информации;

- способы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;

--> ЧИТАТЬ ПОЛНОСТЬЮ <--