Рекомендуемая категория для самостоятельной подготовки:
Курсовая работа*
Код |
591832 |
Дата создания |
2015 |
Страниц |
22
|
Мы сможем обработать ваш заказ (!) 15 ноября в 12:00 [мск] Файлы будут доступны для скачивания только после обработки заказа.
|
Содержание
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 4
1. ТЕКУЩИЕ ТЕНДЕНЦИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 8
1.1. Общее состояние дел в области информационной безопасности 8
1.2. Меры, принимаемые по обеспечению информационной безопасности 9
1.3. Препятствия, мешающие обеспечению информационной безопасности 10
2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ОСНОВНЫЕ ПОНЯТИЯ, ОПРЕДЕЛЕНИЯ И СОСТАВЛЯЮЩИЕ. КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ И МОДЕЛЬ НАРУШИТЕЛЯ 12
2.1. Понятие информационной безопасности 12
2.2. Объекты защиты информации 12
2.1. Составляющие информационной безопасности 13
2.3. Оценка уязвимостей 14
2.4. Определение модели нарушителя 15
3. ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 18
3.1. История возникновения проблемы защиты информации 18
3.2. Важность и сложность проблем информационной безопасности 19
3.3. Принципы, применяемые к современным проблемам защиты информации 20
3.4. Методы определения требований к защищаемой информации 21
4. ИССЛЕДОВАНИЕ МЕТОДОВ РЕШЕНИЯ ПРОБЛЕМ ЗАЩИТЫ ИНФОРМАЦИИ 23
4.1. Архитектура системы защиты информации 23
4.2. Методы защиты от несанкционированного доступа 25
4.3. Методы проверки подлинности 25
4.4. Система разграничения доступа к информации 27
4.5. Протоколирование и аудит 34
4.6. Защита от считывания скопированной информации 35
4.7. Методы препятствования использованию скопированной информации 37
4.8. Методы защиты от разрушения 37
4.9. Методы защиты информации от исследований 38
ЗАКЛЮЧЕНИЕ 40
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 42
ПРИЛОЖЕНИЕ 1 45
Введение
ВВЕДЕНИЕ
В настоящее время компьютерные технологии пронизывают все социально – экономические аспекты жизни общества. Информация становится одним из основных товаров. Ее утрата может привести не только к моральному, но и серьезному материальному ущербу. Информационные ресурсы, существующие в различных формах (на бумаге, в электронном виде, передаваемые на цифровых или аналоговых носителях, посредством электронной почты), должны быть хорошо защищены [1, с. IV].
Развитие современных информационных технологий характеризуется ростом киберпреступностью, а также хищением конфиденциальной и прочей информации [2].
75% потерь, связанных с хищением информационных ресурсов, согласно отчету ORX Global Database за 2014 год [3], обусловлено влиянием человеческого фактора.
Причин активизации киберпреступлений установить точно невозможно. Но наиболее значимыми из них являются переход на безбумажную технологию хранения информации и недостаточное развитие технологии защиты, создание глобальных сетей и расширение круга лиц, имеющих доступ к ним, быстрая смена информационных технологий и увеличение количества уязвимостей программного обеспечения.
Нарушения системы безопасности приводит к возникновению «дыр», вследствие чего, компьютерная система не может:
• своевременно предоставить пользователям системы требуемый доступ к ресурсам информационной системы;
• создавать учетные записи пользователей с необходимыми полномочиями;
• вовремя блокировать доступ к освобождаемым ресурсам.
Неэффективное обеспечение информационной безопасности компьютерных систем привело к принятию, в частности в США, ряда законов (Сайрбенса-Оксли, Грамма-Лича-Билли, HIPPA, FDA 21-CFR-11), направленных на усиление внутреннего аудита за системой безопасности предприятий.
В Российской Федерации также ведется большая работа по обеспечению защиты информации. В «Доктрине информационной безопасности Российской Федерации подчеркивается: «Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать» [4, c. 1] .
Вопросы безопасности и защиты информации регламентируются следующими нормативно – правовыми актами: Конституцией Российской Федерации (ст.ст. 23, 24, 41) [5], Гражданским кодексом РФ (ст.ст.139, 272-274) [6], Уголовным кодексом РФ (ст.ст. 138б 183) [7], Федеральным законом от 27.07.2006 152-ФЗ «О персональных данных» [8] и пр.
Общие вопросы защиты информации были исследованы в работах А.В. Беляева, В.И. Герасименко, И.Р. Конеева, А.П. Курило, А.А. Малюка, А.А. Шелупанова, В.И. Ярочкина и ряда других ученых и практиков.
Вопросам промышленного шпионажа, сохранности коммерческой тайны и функционирования служб безопасности посвящены труды А.И. Алексеева, Р.М. Гасанова, В.С. Горячева, А.В. Жукова, Ю.Ф. Каторина, А. Вольфа, В.И. Ярочкина и других авторов.
В работах перечисленных выше авторов зарубежный и отечественный опыт построения систем обеспечения информационной безопасности описывается лишь в общем виде, практически не затрагиваются вопросы прикладного характера, ориентированные на решение конкретных проблем безопасного ведения бизнеса, отсутствует комплексный подход к реализации политики информационной безопасности.
Актуальность темы защиты информации определяется несколькими факторами:
• становлением «информационного общества»;
• повсеместной компьютеризацией бизнес-процессов;
• усилением значимости информационной безопасности компьютерных систем на эффективность всех протекающих процессов субъектов хозяйствования;
• необходимостью перехода к проактивным методам защиты;
• необходимостью применения комплексного подхода к обеспечению информационной безопасности (ИБ);
• необходимостью стандартизации систем защиты на всех уровнях.
Предметом исследования являются процессы функционирования системы информационной безопасности на всем протяжении жизненного цикла информационной системы. В качестве объекта исследования выступает комплексная информационная система.
Целью данной работы является овладение опытом проведения научного исследования, закрепление, углубление и совершенствование
знаний и профессиональных умений, осуществление рефлексии собственной учебно-познавательной деятельности.
Практическая задача исследования состоит в научном обеспечении процесса защиты информации за счет правильной оценки эффективности принимаемых решений и выбора рационального варианта технической реализации системы защиты информации.
Особенностями задачи обеспечения информационной защиты являются:
• неполнота и неопределенность исходной информации о характерных угрозах и видах злоумышленников;
• необходимость принятия во внимание большого количества требований к системам защиты информации;
• учет как количественных, так и качественных метрик оценки систем защиты информации.
Поставленная в работе цель обусловила решение следующих задач:
• исследование современных тенденций в области защиты информации
• исследование понятия защиты информации и его составляющих, определение объектов защиты информации и моделей поведения нарушителей, классификация угроз нарушения безопасности
• исследование методологии выявления проблем защиты информации, методов определения требований к защищаемым объектам и принципов построения защиты
• исследование методов решения проблем защиты информации.
Фрагмент работы для ознакомления
Как правило, выделяют четыре уровня возможностей нарушителя [15]:
1. Нулевой уровень – случайное непреднамеренное ознакомление с информацией (случайное прослушивание в канале);
2. Первый уровень – нарушитель имеет ограниченные средства и самостоятельно создает способы и методы атак на средства защиты при помощи распространенных программных средств и ЭВМ;
3. Второй уровень – нарушитель корпоративного типа имеет возможность создания специальных технических средств, стоимость которых соотносится с возможными финансовыми убытками при утере, изменении или уничтожении защищаемой информации. Для распределения вычислительной нагрузки при реализации атак могут использоваться локальные вычислительные центры.
4. Третий уровень – нарушитель имеет научно-технический ресурс, который приравнивается к научно-техническому ресурсу специальной службы экономически развитого государства.
Мотивами для нарушения безопасности являются:
• недостатки используемых информационных технологий;
• безответственность персонала;
• самоутверждение;
• "борьба с системой";
• корыстные интересы пользователей системы;
• уязвимости используемых информационных технологий;
• ошибки обслуживающего персонала.
К внутренним нарушителям относят пользователей и операторов информационной системы, в том числе руководителей различных уровней:
• прикладных и системных программистов;
• сотрудников службы безопасности;
• технический персонал по обслуживанию зданий и вычислительной техники;
• прикладных и системных программистов;
• администраторов вычислительных сетей и информационной безопасности;
• вспомогательный персонал и временных работников.
К внешним нарушителям относят:
• клиентов организаций и учреждений;
• конкурентов;
• государственные контролирующие органы;
• сообщества хакеров.
Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. Необходимо принимать во внимание возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия.
Для корпоративных сетей организаций могут встречаться нарушители всех уровней. Это могут быть сотрудники компании, представляющие угрозу вследствие некомпетентности или пытающиеся намеренно нанести ущерб. К данной категории относят как обычных пользователей, которые зачастую даже не подозревают об опасности своих действий, так и администраторов сети. Извне угрозу представляют сообщества хакеров.
Построение модели нарушителя является залогом успеха при проектировании и проверки системы защиты информации. Так как выявления возможного инициатора угроз позволяет более полно определить перечень угроз, оценить возможности злоумышленника и разрабатывать СЗИ для защиты от него.
Список литературы
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. ГОСТ Р ИСО/МЭК 17799–2005. Информационная технология. Практические правила управления информационной безопасностью. [Электронный ресурс]. Режим доступа: http://www.specon.ru/files/Gost%20R%20ISO%20-%20MEC%2017799%202005.pdf (дата обращения 20 мая 2015г.)
2. Защита информации от несанкционированного доступа в современных компьютерных системах. [Информационный ресурс]. Режим доступа: http://www.infobez.com/article.asp?ob_no=11847 (дата обращения мая 2015 г.)
3. 2014 ORX Report on Operational Risk Loss Data. [Электронный ресурс]. Режим доступа: http://www.orx.org (дата обращения 20 мая 2015г.)
4. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895). [Электронный ресурс]. Режим доступа: http://base.garant.ru/182535/#ixzz3MeYV0sSI (дата обращения 21 мая 2015 г.)
5. Конституция Российской Федерации (с изменениями от 21.07.2014). [Электронный документ]. Режим доступа: http://dogovor-urist.ru/законы/конституция_рф/ (дата обращения 21 мая 2015 г.)
6. Гражданский кодекс РФ//Справочно-поисковая система «Гарант». [Электронный документ]. Режим доступа: http://base.garant.ru/10164072/ (дата обращения 21 мая 2015 г.)
7. Уголовный кодекс РФ (редакция 02.03.2015) // Справочно-поисковая система «Консультант Плюс». [Электронный документ]. Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_174910/ (дата обращения 21 мая 2015 г.)
8. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями и дополнениями)// //Справочно-поисковая система «Гарант». [Электронный документ]. Режим доступа: http://base.garant.ru/12148567/#ixzz3VlKQnisk (дата обращения 21 мая 2015 г.)
9. Информационная безопасность бизнеса 2014 год. [Электронный документ]. Режим доступа: kaspersky.ru/beready (дата обращения 24 мая 2015 г.)
10. Основы информационной безопасности. [Электронный документ]. Режим доступа: http://knigainformatika.narod.ru/disciplins/inform_bes/Osnova_inform_bes.pdf (дата обращения 24 мая 2015 г.)
11. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Егоров Н.А., 2001 – 264 с.
12. Соколов А.В. Защита информации в распределенных корпоративных сетях и системах /А.В. Соколов, В.Ф.Шаньгин. – М.: ДМК Пресс, 2002
13. The AIC TRIAD. [Электронный ресурс]. – Режим доступа: http://www.infosecschool.com/aic-triad_cia-triad/ (дата обращения 25 мая 2015 г.)
14. Горбенко И.Д., Качко Е.Г., Потий, А.В. Решения и средства защиты информации. М.: «Форум-ИнфраМ», 2004. 528-533 с.
15. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. –– М.:Компания Айти; ДМКПресс, 2004.
16. R. S. Sandhu, E. J. Coyne and H. L. Feinstein, C. E. Youman, “Role-Based Access Control Models,” in Proc. IEEE Computer Security, vol.29, no.2, pp. 38-47, Feb. 1996
17. Колегов Д.Н. Построение иерархического ролевого управления доступом / Д.Н. Колегов// Математические основы компьютерной безопасности. – Томск, ТГУ, 2012. – вып. № 3(17)
18. IEEE Computer, vol. 43, no. 6 (June, 2010), pp. 79-81
19. Чернов Д.В. О моделях логического управления доступом на основе атрибутов // ПДМ. Приложение. 2012. №5. [Электронный ресурс] // [сайт]. – Режим доступа: http://cyberleninka.ru/article/n/o-modelyah-logicheskogo-upravleniya-dostupom-na-osnove-atributov (дата обращения 25 мая 2015 г.)
20. Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие. – М.: ИНТУИТ.РУ, 2006, 208 с.
21. Чуднова О.А., Любченко Е.А. Информационная безопасность: учебное пособие. – Владивосток: издательство ТГЭУ, 2010 – 112 с.
22. The AIC TRIAD. [Электронный ресурс]. – Режим доступа: http://www.infosecschool.com/aic-triad_cia-triad/ (дата обращения 25 мая 2015 г.)
23. Защита от несанкционированного доступа. [Электронный ресурс]. Режим доступа: http://protect.htmlweb.ru/p3.htm (дата обращения 25 мая 2015 г.)
24. Панасенко С. Методы и средства защиты от несанкционированного доступа. [Электронный ресурс]. Режим доступа: http:// http://www.panasenko.ru/Articles/77/77.html (дата обращения 25 мая 2015 г.)
25. Голиков С.Е. Серова-Нашева Н.А. // Сборник научных работ Севастопольского национального университета ядерной энергии и промышленности. – 2013. - №4, с.177-185. Режим доступа: http://nbuv.gov.ua/j-pdf/znpsnu_2013_4_29.pdf (дата обращения 25 мая 2015 г.)
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00364