Автор работы: Пользователь скрыл имя, 10 Декабря 2012 в 09:29, курсовая работа
Целью данного курсового проекта является создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных.
Для реализации поставленной цели, необходимо решить следующие задачи:
произвести моделирование объекта защиты информации и выявить возможные каналы утечки защищаемой информации;
произвести проектирование комплекса мероприятий по защите информации от утечки по техническим каналам.
Под угрозой безопасности АС понимаются
возможные действия, способные прямо
или косвенно нанести ущерб ее
безопасности. Ущерб безопасности подразумевает
нарушение состояния
Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.
Защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Способ защиты информации — порядок и правила применения определенных принципов и средств защиты информации.
Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации
Комплекс средств защиты (КСЗ) — совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Корпоративные сети относятся к
распределенным автоматизированным системам
(АС), осуществляющим обработку информации.
Обеспечение безопасности АС предполагает
организацию противодействия
Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств зашиты компьютерной системы от заданного множества угроз. Более подробные сведения о видах политики безопасности и процессе ее разработки будут приводиться в следующих статьях.
1.2 Методы и средства защиты информации
Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:
Системный подход
к построению системы защиты,
означающий оптимальное
Принцип непрерывного развития
системы. Этот принцип,
Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.
Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты. Обеспечение всевозможных средств борьбы с вредоносными программами.
Обеспечение экономической
целесообразности
В результате решения проблем безопасности информации современные ИС и ИТ должны обладать следующими основными признаками:
• наличием информации
различной степени
• обеспечением
криптографической защиты
• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
• наличием механизма
регистрации и учета попыток
несанкционированного доступа,
• обязательным обеспечением
целостности программного
• наличием средств восстановления системы защиты информации; • обязательным учетом магнитных носителей;
• наличием физической охраны средств вычислительной техники и магнитных носителей;
• наличием специальной службы информационной безопасности системы.
Методы и средства обеспечения безопасности информации:
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Механизмы
шифрования —
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ.
Вся совокупность
технических средств
Аппаратные
средства — устройства, встраиваемые
непосредственно в вычислительн
Физические средства
включают различные инженерные
устройства и сооружения, препятствующие
физическому проникновению
Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.
Из средств
ПО системы защиты необходимо
выделить еще программные
Организационные
средства осуществляют своим
комплексом регламентацию
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.
2 ПРАКТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1 Организационная характеристика "Ок-сервис
Компьютерная компания ООО "Ок-сервис" работает на рынке IT услуг с 2007 года. Расположена по адресу: г. Оренбург, пр. Автоматики 17.
Организация занимается предоставлением услуг:
Целью деятельности организации,
как и любой другой коммерческой компании,
является получение прибыли. Клиентами
компании являются юридические (организации)
и частные лица, за интересованные в аутсорсинговых
услугах по размещению своих информационных
ресурсов в управление ООО «ОКС». На предприятии
работает 17 человек, включая работников
сторонних организаций, участвующих в
процессе работы по договорам найма.
2.2 Исследование информационной безопасности ООО «ОКС»
Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения или уничтожения с целью оценки наносимого этими действиями ущерба.
Моделирование угроз состоит в анализе возможных технических каналов утечки информации;
Для создания модели злоумышленника необходимо мысленно проиграть с позиции злоумышленника варианты возможного получения доступа к источникам информации. Чем больше при этом будет учтено факторов, тем выше будет вероятность соответствия модели реальной практике. В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, хотя это может привести к увеличению затрат.
При выявлении технических каналов утечки информации необходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации, оконечные устройства, соединительные линии, распределительные и коммутационные устройства, системы электропитания, системы заземления и т.п. Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы, такие, как технические средства открытой телефонной, факсимильной, громкоговорящей связи, системы охранной и пожарной сигнализации, электрификации, радиофикации, электробытовые приборы и др. Каналы утечки могут быть реализованы через вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены основные и вспомогательные технические средства, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.