Автор работы: Пользователь скрыл имя, 18 Января 2012 в 03:22, контрольная работа
В современном мире все большую ценность приобретает различного рода информация. Как и любую ценность, информацию необходимо защищать.
Выбор способа защиты информации зависит от нескольких факторов. Во-первых, это ценность информации. Например, финансовые данные требует совершенно других мер защиты, нежели информация о расписании занятий в университете.
Во-вторых, это способ хранения информации. Электронные и физические документы требуют различного подхода к организации мер защиты.
И, в-третьих, способ защиты зависит от типа угроз.
2.1.4 Защита от повреждений или удаления в результате сбоя оборудования
В процессе эксплуатации оборудование изнашивается. Со временем надежность оборудования падает, и через некоторое время могут появляться ошибки в работе устройств. Для электронных документов опасными являются ошибки в работе носителей информации, на которых они хранятся.
Мероприятия по защите от сбоев оборудования:
2.1.5 Защита от сбоев питания
Если во время сбоя питания производилась запись на диск, то информация может остаться в несогласованном состоянии. Поэтому современные файловые системы используют журналирование для приведения системных файловых таблиц в согласованное состояние после сбоев питания.
Но сами записываемые файлы могут оказаться в несогласованном состоянии. Поэтому перед обновлением информации в файле необходимо создавать резервную копию этого файла на случай сбоя питания в момент записи. Как правило, современное программное обеспечение обеспечивает эту функциональность без необходимости ручного создания резервной копии.
2.2 Защита от потерь бумажных документов
Бумажные документы могут быть подвержены различным разрушительным воздействиям. Во-первых, это физическое уничтожение документа злоумышленником. Меры по защите от несанкционированного доступа будут описаны в следующем разделе.
Во-вторых, это старение документов. Чернила могут выцветать со временем. Поэтому для длительного хранения архивных документов применяются специальные средства, описание которые выходит за рамки данной работы.
В-третьих, возможна порча документов в результате пожаров, землетрясений и т.д. В этом случае защита документов обеспечивается теми же средствами, что и защита другого имущества.
3 Защита информации от несанкционированного доступа
Абсолютно надёжной защиты не существует. Любую защиту можно преодолеть. Но это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации. Поэтому прежде чем защищать ту или иную информацию, следует подумать, а имеет ли это смысл. Прежде всего – с экономической точки зрения.
Когда мы реализуем целый комплекс мер по защите информации, мы как бы выстраиваем сплошную стену, охраняющую нашу территорию от вторжения врагов. Если хотя бы один участок стены окажется с брешью или недостаточно высок, вся остальная конструкция лишается смысла. Так и с защитой информации – устойчивость всей системы защиты равна устойчивости её слабейшего звена.
3.1 Категории секретности информации
Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:
Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности:
Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ.
3.2 Закон «О персональных данных»
В соответствии со статьей 19 Федерального Закона «О персональных данных» в состав мероприятий по защите персональных данных входят организационные и технические меры.
К организационным мерам относятся:
К техническим мерам относится установка и настройка средств защиты информации. В общем случае, должны использоваться следующие средства защиты информации:
Необходимо отметить, что в соответствии с п.6 Положения «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства №781 от 17.11.2007, средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Это означает, что можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.
3.3 Виды уязвимостей
Несанкционированный доступ может осуществляться различными способами в зависимости от вида уязвимости. Рассмотрим различные виды уязвимостей для электронных документов.
3.2.1 Электромагнитные колебания и акустический канал
Практически любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн.
Также при проведении секретных совещаний и переговоров необходимо защищать помещение от прослушивания.
Разумеется, экранировать помещение будет очень дорого. При решении такого вопроса главным станет фактор экономической целесообразности защиты, о котором говорилось выше.
Здесь будет уместно привести один экзотический случай из практики промышленного шпионажа двадцатилетней давности. Охотники до чужих секретов ухитрились снять секретную информацию буквально с воздуха. Они установили прослушивание помещения, где обрабатывались секретные документы. В те времена пользовались литерными печатающими устройствами. «Треск» работы таких принтеров достаточно легко удалось расшифровать и получить доступ ко всем распечатываемым документам.
3.2.2 Получение физич еского доступа к незаблокированной рабочей станции
При
получении физического доступа
к рабочей станции
Такой
доступ может быть получен с помощью
средств социальной инженерии, либо
при подкупе сотрудников
Защита от подобных атак производится на организационном уровне:
3.2.3 Взлом пароля к рабочей станции
Взлом пароля позволяет получить удаленный доступ к системе с правами того пользователя, чей пароль оказался взломан.
Взлом
пароля всегда может быть осуществлен
полным перебором всех вариантов. Однако
перебор может потребовать
В качестве защиты от подобного вида взлома используются длинные пароли (не менее 12 символов), содержащие буквы разных регистров, цифры и специальные символы. Также для разных документов и систем рекомендуется использовать разные пароли, т.к. иначе взлом одного ресурса ведет к взлому всех остальных.
Если же рассматривать защиту документов шифрованием, то взлом пароля может быть осуществлен также в том случае, если используется слабый алгоритм шифрования, либо малый размер блока (при использовании блочных шифров), либо при наличии повторяющейся информации (для некоторых видов шифров).
3.2.3 Перехват информации при передаче по сети
Поскольку каналы связи, как правило, находятся вне зоны контроля, с точки зрения безопасности необходимо рассматривать сеть как доступный злоумышленнику канал. Из-за физических особенностей сети злоумышленник может просматривать передаваемую по сети информацию, а также подменять ее на свою (атака «человек посередине»).
Как правило, для защиты от атак вида «человек посередине» используется ассиметричное шифрование и цифровая подпись. При этом без знания приватных ключей сторон злоумышленник не может ни прочитать информацию, ни подменить ее. Однако есть проблема «угона сеанса», когда злоумышленник перехватывает подключение клиента к серверу, и выдает себя за сервер, а потом подключается к серверу и выдает себя за этого клиента. Обеспечить защиту в подобных условиях возможно только с использованием третьей, удостоверяющей стороны.
В существующей практике для этого создаются центры сертификации, которые выдают сертификаты (приватную и публичную части) юридическим и физическим лицам, гарантируя, что запрашивающий клиент соответствует прописанному в сертификате. В этом случае при обмене публичной частью сертификата проверяется, что публикуемые данные соответствуют ожидаемым, путем запроса к центру сертификации.