На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


курсовая работа Административный уровень защиты компьютерных сетей

Информация:

Тип работы: курсовая работа. Добавлен: 10.05.2012. Сдан: 2011. Страниц: 7. Уникальность по antiplagiat.ru: < 30%

Описание (план):


Содержание 

Введение…………………………………………………………………………...3
Глава 1. Основные понятия………………………………………………………5
Глава 2. Разработка политики безопасности……………………………………6
Глава 3. Программа безопасности……………………………………………...15
Глава 4. Синхронизация программы безопасности с жизненным
 циклом систем…………………………………………………………………...17
Заключение……………………………………………………………………….21
Список использованной литературы …………………………………………..23 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение.

Главная тенденция развития современного общества тесно связана с ростом информационной составляющей (информационные ресурсы, информационные технологии и т.п.) и, как следствие, информационной безопасности. Вопросы информационной безопасности на современном этапе рассматриваются как приоритетные в государственных структурах, в научных учреждениях и в коммерческих фирмах. Информационные системы специального назначения (банковские системы, силовые ведомства и т.п.), являясь приоритетными в структуре государства, не могут оставаться в вопросах обеспечения информационной безопасности только на уровне традиционных средств: криптографическая защита, совершенствование систем разделения доступа, реализация специальных требований для абонентского трафика, проведение организационных мероприятий по усилению режима.

Существующие  на сегодняшний день методы и средства защиты информации в автоматизированных системах достаточно разнообразны, что, несомненно, отражает многообразие способов и средств возможных несанкционированных действий. Главным недостатком существующих методов и средств защиты информации, включая современные средства поиска уязвимостей автоматизированных систем и обнаружения несанкционированных действий, является то, что они, в подавляющем большинстве случаев, позволяют организовать защиту информации лишь от постфактум выявленных угроз, что отражает определенную степень пассивности обороны.

В Законе РФ "Об участии в международном  информационном обмене" информационная безопасность определяется - как состояние  защищенности информационной среды  общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данной работе я рассмотрю административный уровень защиты компьютерных сетей. Рассмотрю основные понятия, политику безопасности, программу безопасности, а так же синхронизацию программы безопасности с жизненным циклом систем.

Глава 1. Основные понятия.

       На  программно-технические методы защиты информации опираются организационные меры.  

      К ним можно отнести:
1.   Разработку политики безопасности;
2.   Проведение анализа рисков;
3.   Планирование обеспечения информационной безопасности;
4.   Планирование действий в чрезвычайных ситуациях;
5.   Подбор механизмов и средств обеспечения информационной безопасности. 

     Первые  два этапа обычно трактуются как  выработка политики безопасности и составляют так называемый административный уровень системы обеспечения информационной безопасности предприятия.
     Третий  и четвертый этапы заключаются  в разработке процедур безопасности. На этих этапах формируется  уровень планирования системы обеспечения информационной безопасности.
     На  последнем этапе практических мероприятий  определяется программно-технический  уровень системы обеспечения информационной безопасности.
     Законы  и стандарты в области информационной безопасности являются лишь отправным нормативным базисом системы обеспечения информационной безопасности. Основой практического построения интегрированной системы является создание административного уровня системы, определяющего генеральное направление работ по обеспечению информационной безопасности1.
      К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
      Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
      Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
      Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
      Термин  "политика безопасности" является не совсем точным переводом английского словосочетания "security policy", однако в данном случае лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне2.

Глава 2. Разработка политики безопасности.

     Политика  безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.  

     Данный  документ представляет методологическую основу практических мер (процедур) по реализации обеспечения информационной безопасности и содержит следующие группы сведений: 

      1.   Основные положения информационной безопасности.
Основные  положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.  

      2.   Область применения.
Областью  применения политики безопасности являются основные активы и подсистемы автоматизированных систем, подлежащие защите. Типовыми активами являются программно-аппаратное и информационное обеспечение, персонал, в отдельных случаях – информационная инфраструктура предприятия. 

      3.   Цели и задачи обеспечения информационной безопасности.
Цели, задачи, критерии обеспечения информационной безопасности вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д. Здесь указываются законы и правила организации, которые следует учитывать при проведении работ по обеспечению информационной безопасности.  

     Типовыми  целями могут быть следующие:
- обеспечение уровня безопасности, соответствующего нормативным документам предприятия;
- следование экономической целесообразности в выборе защитных мер;
- обеспечение соответствующего уровня безопасности в конкретных функциональных областях автоматизированных систем;
- обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;
- выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы автоматизированных систем и др.  

     Если  предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем.
     Политика  безопасности затрагивает всех пользователей  компьютеров в организации. Поэтому  важно решить так называемые политические вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями.
     Для этого определяется круг лиц, имеющий  доступ к подсистемам и сервисам. Для каждой категории пользователей  описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей.  

     Следует указать, какое из правил умолчания  на использование ресурсов принято  в организации, а именно:
-        что явно не запрещено, то разрешено;
-        что явно не разрешено, то запрещено. 

      4.   Распределение ролей и ответственности.
Одним из самых уязвимых мест в обеспечении информационной безопасности является распределение прав доступа. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам – централизованная или децентрализованная, или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. Целесообразно детально описать практические процедуры наделения пользователей правами. Здесь следует указать должностных лиц, имеющих административные привилегии и пароли для определенных сервисов. 

      5.   Общие обязанности.
Права и обязанности пользователей определяются применительно к безопасному использованию подсистем и сервисов. При определении прав и обязанностей администраторов следует стремиться к некоторому балансу между правом пользователей на тайну и обязанностью администратора контролировать нарушения безопасности.
     Важным  элементом политики является распределение  ответственности. Политика не может  предусмотреть всего, однако, она  должна для каждого вида проблем  найти ответственного3.
      С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.  
      Примерный список подобных решений может включать в себя следующие элементы:
    решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
    формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
    обеспечение базы для соблюдения законов и правил;
    формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
      Для политики верхнего уровня цели организации  в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.
      На  верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
      Политика  верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
      В политике должны быть определены обязанности  должностных лиц по выработке  программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.
      Политика  верхнего уровня имеет дело с тремя  аспектами законопослушности и  исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку  программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
      На верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.
Британский  стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие  разделы:
    вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
    организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
    классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
    штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
    раздел, освещающий вопросы физической защиты;
    управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
    раздел, описывающий правила разграничения доступа к производственной информации;
    раздел, характеризующий порядок разработки и сопровождения систем;
    раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
    юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
      К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.  

      Политика  среднего уровня должна для каждого аспекта освещать следующие темы:  

      1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.  

      2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?  

      3. Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.  

      4. Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.  

      5. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.  

      6. Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.
      Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.
      Вот несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
- кто имеет право доступа к объектам, поддерживаемым сервисом?
- при каких условиях можно читать и модифицировать данные?
- как организован удаленный доступ к сервису? 

      При формулировке целей политики нижнего  уровня можно исходить из соображений  целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.
      Из  целей выводятся правила безопасности, описывающие, кто, что и при каких  условиях может делать. Чем подробнее  правила, чем более формально  они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса4.

Глава 3. Программа безопасности.

      После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.
      Чтобы понять и реализовать какую-либо программу, ее нужно структурировать  по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.  

      Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации.  

      У этой программы следующие главные  цели:
- управление рисками (оценка рисков, выбор эффективных средств защиты);
- координация деятельности в области информационной безопасности,
- пополнение и распределение ресурсов;
- стратегическое планирование;
- контроль деятельности в области информационной безопасности. 

      В рамках программы верхнего уровня принимаются  стратегические решения по обеспечению  безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
      Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.
      Следует подчеркнуть, что программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально приниматься  и поддерживаться руководством, а  также иметь определенный штат и бюджет.  

      Цель  программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов.  

      На  этом уровне решается:
      - какие следует использовать механизмы защиты;
      - закупаются и устанавливаются технические средства;
      - выполняется повседневное администрирование;
      - отслеживается состояние слабых мест и т.п.  

Обычно  за программу нижнего уровня отвечают администраторы сервисов5.

Глава 4. Синхронизация программы безопасности с жизненным циклом систем.

      Если  синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Программисты знают, что добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее. То же справедливо и для информационной безопасности.  

      В жизненном цикле информационного сервиса можно выделить следующие этапы:  

      1. Инициация. На данном этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.
      На  этапе инициации оформляется понимание того, что необходимо приобрести новый или значительно модернизировать существующий сервис; определяется, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.
      С точки зрения безопасности важнейшим  действием здесь является оценка критичности как самого сервиса, так и информации, которая с  его помощью будет обрабатываться.  

      Требуется сформулировать ответы на следующие  вопросы:
    какого рода информация предназначается для обслуживания новым сервисом?
    каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
    каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
    есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие принятия специальных процедурных мер?
    каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?
    каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?
      Результаты  оценки критичности являются отправной  точкой в составлении спецификаций. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому сервису на последующих этапах его жизненного цикла.  

      2. Закупка. На данном этапе составляются спецификации, прорабатываются варианты приобретения, выполняется собственно закупка.
      Этап  закупки - один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.  

      3. Установка.
      Когда продукт закуплен, его необходимо установить. Несмотря на кажущуюся простоту, установка является очень ответственным делом.
        Во-первых, новый продукт следует  сконфигурировать. Как правило, коммерческие  продукты поставляются с отключенными  средствами безопасности; их необходимо  включить и должным образом  настроить. Для большой организации, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным делом.
      Во-вторых, новый сервис нуждается в процедурных  регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.