Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Реферат звіт по проекту: 68 стор., 28 джерел, додатків

Реферат звіт по проекту: 68 стор., 28 джерел, додатків




Сторінка2/18
Дата конвертації10.03.2017
Розмір1.79 Mb.
ТипРеферат
1   2   3   4   5   6   7   8   9   ...   18

РОЗДІЛ 1. ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

1.1 Основні поняття інформаційній безпеки


В онлайновому словнику Мерріама Вебстера (Merriam-Webster) [4] дається наступне визначення інформації:

  • відомості, отримані при дослідженні, вивченні або навчанні;

  • вісті, новини, факти, дані;

  • команди або символи представлення даних (в системах зв'язку або в комп'ютері);

  • знання (повідомлення, експериментальні дані, зображення), що міняють концепцію, отриману в результаті фізичного або розумового досвіду.
    Си́мвол (англ. symbol символ) - знак, сутність, яка позначає іншу сутність.
    Результат, пі́дсумок, (заст. ску́ток, вислід) - кінцевий наслідок послідовності дій. Можливі результати містять перевагу, незручність, вигоду, збитки, цінність і перемогу. Результат є етапом діяльності, коли визначено наявність переходу якості в кількість і кількості в якість.
    Конце́пція (лат. conceptio - розуміння) - система поглядів, те або інше розуміння явищ і процесів; єдиний, визначальний задум.
    Експериме́нт (англ. experiment) - сукупність дослідів, об’єднаних однією системою їх постановки, взаємозв’язком результатів і способом їх обробки. В результаті експерименту отримують сукупність результатів, які допускають їхню сумісну обробку і зіставлення.
    Розум (лат. ratio; грец. νους) - сукупність пізнавальних та аналітичних здібностей людини, завдяки яким формується інтелект особистості. Не існує загальноприйнятого визначення, що саме є розумом, тому що у релігійних, філософських і наукових текстах це поняття сприймається по різному, і у кожній з цих галузей існує довга традиція того чи іншого використання.


Безпека визначається таким чином: свобода від небезпеки, збереження; свобода від страху або турботи.

Якщо об'єднати ці двоє понять разом, то отримаємо визначення інформаційної безпеки - заходи, вжиті для запобігання несанкціонованого використовування, зловживання, зміни відомостей, фактів, даних або апаратних засобів або відмови в доступі до них.

Як випливає з визначення, інформаційна безпека не забезпечує абсолютний захист.

Абсолютний (від лат. absolutus) - безумовний, необмежений, повний, безвідносний.
Можна побудувати найміцнішу фортецю в світі - і тут же з'явиться хтось з ще більш могутнім тараном. Інформаційна безпека - це попереджувальні дії, які дозволяють захистити інформацію і устаткування від загроз і використовування їх вразливих місць.

1.2. Визначення безпеки


Очевидно, що не можна покладатися на один вид захисту для забезпечення безпеки інформації. Не існує і єдиного продукту, що реалізував всі необхідні способи захисту для комп'ютерів і мереж. На жаль, багато які розробники претендують на те, що їх продукт може справитися з цією задачею. Насправді це не так. Для захисту інформаційних ресурсів потрібна безліч різних продуктів.
Обла́днання (устаткування) (англ. equipment, нім. ausrüstung) f) - сукупність пристроїв, механізмів, приладів, інструментів або конструкцій, що використовуються в певній сфері діяльності, або з певною метою.
Інформаці́йні ресу́рси (Information resources) - документи і масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних сховищах і т.і.). Розрізняють інформаційні ресурси державні та недержавні.

1.2.1 Управління доступом


Будь-яка комп'ютерна система в межах організації обмежує доступ до файлів, ідентифікуючи користувача, який входить в систему. При правильній настройці системи, при установці необхідних дозволів для легальних користувачів існує обмеження на використання файлів, до яких в них немає доступу. Ніяка система управління доступом не забезпечить захист, якщо зловмисник через вразливі місця отримає доступ до файлів як адміністратор. Такий напад буде вважатися легальними діями адміністратора [5].

1.2.2 Міжмережеві екрани


Міжмережевий екран (firewall) - це засіб управління доступом, що захищає внутрішні мережі від зовнішніх атак. Він встановлюється на границі між зовнішньою і внутрішньою мережею. Правильно конфігурований міжмережевий екран є найважливішим пристроєм захисту.
При́стрій (англ. device, appliance, нім. Vorrichtung f, Einrichtung f) - обладнання, конструктивно завершена технічна система, що має певне функціональне призначення і за допомогою якої виконується яка-небудь робота або спрощується, полегшується певний процес.
Однак він не зможе запобігти атаці через дозволений канал зв'язку. Наприклад, при дозволі доступу до Web-серверу із зовнішньої сторони і наявності слабкого місця в його програмному забезпеченні міжмережевий екран пропустить цю атаку, оскільки відкрите Web-з’єднання необхідне для роботи серверу. Міжмережевий екран не захистить від внутрішніх користувачів, оскільки вони вже знаходяться усередині системи. Під внутрішнього користувача може замаскуватися зловмисник. Розглянемо організацію, що має безпроводні мережі. При неправильній настройці внутрішньої безпроводної мережі зловмисник, сидячи на стоянці для автомобілів, зможе перехоплювати дані з цієї мережі, при цьому його дії будуть виглядати як робота користувача усередині системи. В цьому випадку міжмережевий екран не допоможе [6].

1.2.3 Смарт-карти


Аутентифікація (встановлення автентичності) особи може бути виконана при використовуванні трьох речей: того, що ви знаєте, того, що ви маєте, або того, чим ви є. Історично для ідентифікації особи в комп'ютерних системах застосовувалися паролі (те, що ви знаєте).
Автомобі́ль, авто́ (від грец. αὐτός - сам і лат. mobilis - той, що рухається) - самохідна колісна машина, яка приводиться в рух встановленим на ній двигуном і призначена для перевезення людей, вантажу, буксирування транспортних засобів, виконання спеціальних робіт та перевезення спеціального устаткування безрейковими дорогами.
Істо́рія (від дав.-гр. ἱστορία - оповідь, переказ про відоме, досліджене минуле) або діє́пис - наука, яка вивчає минуле людства, покладаючись при цьому на письмові та матеріальні свідчення минулих подій.
Але виявилося, що покладатися на паролі особливо не слід. Пароль можна вгадати, або користувач запише його на клаптику паперу - і пароль будуть знати всі. Вирішує цю проблему застосування інших методів аутентифікації.

Для встановлення особи використовуються смарт-карти, або електроні ключі (вони - те, що ви маєте), і таким чином зменшується ризик вгадування пароля. Однак якщо смарт-карта вкрадена, і це - єдина форма встановлення особи, то викрадач зможе замаскуватися під легального користувача комп'ютерної системи. Смарт-карти не зможуть запобігти атаці з використанням вразливих місць, оскільки вони розраховані на правильний вхід користувача в систему.

Ще одна проблема - це вартість смарт-карт, адже за кожну потрібно заплатити від 50 до 100 доларів. Організації з великою кількістю службовців потрібні будуть серйозні витрати на оплату такої безпеки [7].

1.2.4 Біометрія


Біометричні системи - ще один механізм аутентифікації (вони - те, чим ви є), що значно зменшує вірогідність вгадування пароля.
Вірогі́дність - властивість знання, істинність якого твердо встановлена суб'єктом.
Існує безліч біометричних сканерів для верифікації наступного:

  • відбитків пальців;

  • сітківки/радужної оболонки;

  • відбитків долонь;

  • конфігурації руки;

  • конфігурації обличчя;

  • голосу.

Кожний метод припускає використовування певного пристрою для ідентифікації людських характеристик. Звичайно ці пристрої досить складні, щоб виключити спроби обману. Наприклад, при знятті відбитків пальців кілька разів перевіряються температура і пульс.
Верифіка́ція (пізньолат. verificatia - підтвердження; лат. verus - істинний, facio - роблю) - доказ того, що вірогідний факт або твердження є істинним. Термін використовується в залежності від того, як обґрунтовується істина: базується вона на приведенні одного доказу або аргументу - чи вона повинна підтверджуватися можливістю багаторазового відтворювання, тобто перевірятися практикою.
Температу́ра (від лат. temperatura - належне змішування, нормальний стан) - фізична величина, яка описує стан термодинамічної системи.
При застосуванні біометрії виникає безліч проблем, включаючи вартість розгортання зчитуючих пристоїв і небажання співробітників їх використовувати.

Як і інші сильні пізнавальні методи, біометрія ефективна у випадку правильного входу в систему. Якщо зловмисник знайде шляхи обходу біометричної системи, вона не зможе забезпечити безпеку [8].


1.2.5 Виявлення вторгнення


Системи виявлення вторгнення (Intrusion Detection System, IDS) неодноразово рекламувалися як повне вирішення проблеми безпеки. Нашим комп'ютерам більше не потрібен захист, тепер легко визначити, що в системі кимось виконуються недозволені дії, і зупинити його! Багато які IDS позиціонувалися на ринку як системи, що здатні зупинити атаки до того, як вони успішно здійсняться. Крім того, з’явилися нові системи - системи запобігання вторгненням (Intrusion Prevention System, IPS). Слід помітити, що ніяка система виявлення вторгнення не є стійкою до помилок, вона не замінить надійну програму безпеки або практику безпеки. За допомогою цих систем не можна виявити законних користувачів, що намагаються отримати несанкціонований доступ до інформації.

Системи виявлення вторгнення забезпечують автоматичну підтримку захисту окремих ділянок, але це створює додаткові проблеми. Уявіть, що система IDS налаштована на блокування доступу з передбачуваних адрес нападу. В цей час клієнт згенерував трафик, який помилково був ідентифікований системою як можлива атака [9].

Замо́вник - фізична чи юридична особа, розпорядник грошових коштів, який замовляє певні товари, роботи чи послуги (цінності), або подає заявку про придбання чи замовлення товарів, робіт чи послуг (цінностей) у майбутньому.


1.2.6 Сканування на наявність вразливих місць


Сканування комп'ютерних систем на наявність вразливих місць грає важливу роль в програмі безпеки. Воно дозволяє виявити потенційні точки для вторгнення та вжити негайних заходів для підвищення безпеки. Однак таке дослідження не зупинить легальних користувачів, що виконують несанкціонований доступ до файлів, не зупинить зловмисників, які вже проникли в систему через "діри" в конфігурації.

Для пошуку можливих проломів, у тому числі помилок конфігурування засобів захисту, призначені системи аналізу уразливостей. Їх існує величезна безліч. Приведемо деякі з них: NetRecon (Axent Technologies), Internet Scanner (Internet Security System), Retina (eEye Digital Security), CyberCop Scanner (Network Associates), WebTrends Security Analyzer і System Analyst Integrated Network Tools (World Wide Digital Security), програмне забезпечення з відкритим кодом Nessus Security Scanner і Security Administrator's Research Assistant.


1.2.7 Шифрування


Шифрування - найважливіший механізм захисту інформації при передачі. За допомогою шифрування файлів можна забезпечити також безпеку інформації при зберіганні. Однак, співробітники організації повинні мати доступ до цих файлів, а система шифрування не зможе розрізнити законних і незаконних користувачів, якщо вони представляють однакові ключі для алгоритму шифрування.
Криптогра́фія (від грецького kryptós - прихований і gráphein - писати) - наука про математичні методи забезпечення конфіденційності, цілісності і автентичності інформації. Розвинулась з практичної потреби передавати важливі відомості найнадійнішим чином.
Зберіга́ння - дія за значенням зберігати; технологічний процес.
Алгори́тм (латинізов. Algorithmi за араб. ім'ям узб. математика аль-Хорезмі) - набір інструкцій, які описують порядок дій виконавця, щоб досягти результату розв'язання задачі за скінченну кількість дій; система правил виконання дискретного процесу, яка досягає поставленої мети за скінченний час.
Для забезпечення безпеки при шифруванні необхідний контроль за ключами шифрування і системою в цілому.

1.2.8 Механізми фізичного захисту


Фізичний захист - єдиний спосіб комплексного захисту комп'ютерних систем та інформації. Його можна використовувати відносно дешево. Для цього вирийте яму глибиною 20 метрів, помістіть в неї важливі системи і зверху залийте бетоном. Все буде в цілковитій безпеці! На жаль, з’являться проблеми з співробітниками, яким потрібен доступ до комп'ютерів для нормальної роботи.

Навіть за наявності механізмів фізичного захисту, ретельно розставлених по своїх місцях, доведеться дати користувачам доступ до системи - і їй швидко прийде кінець! Фізичний захист не запобіжить атаці з використанням легального доступу або при мережній атаці.



1.2.9 Поняття “Людський фактор”

Розмова про захист конфіденційної інформації буде неповним, якщо не згадати про так званий “людський фактор”. Як відомо, по статистиці до 80% від всіх видів розкрадання інформації відбувається при пособництві або особистій участі самих співробітників підприємств.

Саме тому доступ у приміщення, де ведеться робота з конфіденційною або секретною інформацією, повинен бути обмежений. Там повинні перебувати лише ті, хто працює із закритими даними, обслуговує апаратуру. Сторонні (наприклад, прибиральниці, слюсарі, електрики й ін.

Примі́щення - частина внутрішнього об'єму будівлі, обмежена будівельними елементами, з можливістю входу і виходу.
Конфіденційність (англ. confidentiality, privacy) - властивість не підлягати розголосові; довірливість, секретність, суто приватність.
Еле́ктрика (від грец. ήλεκτρον - бурштин; раніше також громови́на ) - розділ фізики, що вивчає електричні явища: взаємодію між зарядженими тілами, явища поляризації та проходження електричного струму.
) можуть перебувати там тільки в присутності чергового по приміщенню. Самі приміщення при необхідності рекомендується сертифікувати в належних органах на право роботи з інформацією необхідного грифа таємності.

Доступ у спецприміщення, а також правила роботи й охорони регламентуються спеціальними документами, відповідно до яких і здійснюється захист конфіденційної або секретної інформації.

Особливу увагу варто приділити кадрам. Із закритою інформацією повинні працювати фахівці, що мають відповідну кваліфікацію, що пройшли перевірку й користуються довірою керівництва.

Кваліфіка́ція (від англ. Quality - якість) - це: наявність підготовки, професійних знань, навичок та досвіду, які дають можливість особі належним чином проводити певні дії; рівень підготовленості, майстерності, ступінь готовності до виконання праці за визначеною спеціальністю чи посадою, що визначається розрядом, класом чи іншими атестаційними категоріями.
Керівн́ицтво - (адміністрування, розпорядництво) є однією з функцій управління, а в умовах командно-адміністративної системи саме тією функцією, що разом з контролем включила в себе всі інші функції.
Робота таких співробітників повинна добре оплачуватися, що дозволить виключити продаж секретів третій стороні.

Треба враховувати, що співробітники підприємства можуть розголосити секретні відомості не тільки навмисно, але й мимоволі в інтерв'ю, журнальній статті або при неформальному спілкуванні з колегами з конкуруючих фірм.


1   2   3   4   5   6   7   8   9   ...   18



  • 1.2. Визначення безпеки
  • 1.2.1 Управління доступом
  • 1.2.2 Міжмережеві екрани
  • 1.2.3 Смарт-карти
  • 1.2.5 Виявлення вторгнення
  • 1.2.6 Сканування на наявність вразливих місць
  • 1.2.7 Шифрування
  • 1.2.8 Механізми фізичного захисту