На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


лекция Системный подход к безопасности автоматизированных информационных систем

Информация:

Тип работы: лекция. Добавлен: 12.05.2012. Сдан: 2011. Страниц: 3. Уникальность по antiplagiat.ru: < 30%

Описание (план):


       Лекция 5. Системный подход к безопасности автоматизированных информационных систем
       Развитие  средств обработки, передачи и хранения информации породило с проблему обеспечения  безопасности автоматизированных информационных систем (АИС). Проблема безопасности чрезвычайно  многогранна и охватывает все  стадии жизненного цикла - от проектирования до эксплуатации. В настоящее время  назрела необходимость систематизации накопленного опыта в данной области  и формирования целостной концепции  системы информационной безопасности (СИБ).
       Массовое  применение персональных компьютеров  и компьютерных сетей в ряде областей человеческой деятельности, среди которых  следует выделить такие, как производственная, административная, технологическая, финансовая, патентная и др., информационное наполнение которых в большей  степени не должно быть общедоступным, порождает проблему защиты и определяет возросшую актуальность.
       В определении компьютерной безопасности, как системы охраны информации, технических  и программных средств от нанесения  им ущерба в результате сознательных либо случайных противоправных действий, совершенно не учитываются активы, присущие всем компьютерным системам. Речь должна идти не только об информации, как основном активе, но и ресурсах и отношениях партнеров. Доступность  и стабильность вычислительных и  информационных услуг, а также отношения  партнерства являются активами системы  и должны быть также защищены от неверных манипуляций.
       В качестве основы для построения концепции  СИБ следует рассматривать, прежде всего, преднамеренные угрозы - несанкционированное  получение информации и несанкционированная  манипуляция данными, ресурсами  и самими системами.
       Общая схема построения системы информационной безопасности для АИС включает пять последовательных этапов (рис.1):
       - подготовительный;
       - аналитический;
       - исследовательский;
       - рекомендательный;
       - этап внедрения. 

       Подготовительный.
       На  подготовительном этапе выбираются и обосновываются объект защиты (АИС в целом, отдельные компоненты, подсистемы), цели и задачи, общая концепция системы безопасности.
       Проводят  системный анализ ресурсов и ограничений, методов подготовки, приема-передачи и обработки информации, особенностей архитектуры АИС и содержащейся в ней информации. Одновременно с  этим дается описание ресурсов системы, которые объединяют в следующие  категории: техника (hardware); программное обеспечение (software); данные; персонал; дополнительные ресурсы.
       На  основании проведенного анализа  разрабатывается общая концепция СИБ, определяются цели, формируются основные требования, учитывающие не только текущие потребности, но и перспективу развития АИС в целом, а также технологий обработки, хранения и передачи данных.
       К основным целям системы информационной безопасности АИС следует отнести:
       - обеспечение физической и логической  целостности информации;
       - предупреждение несанкционированной  модификации, получения и распространения  информации.
       В основу СИБ должны быть положены следующие  принципы:
       1. Обеспечение конфиденциальности  личной, служебной и другой доверительной  информации.
       2. Поддержка целостности и достоверности  хранимых данных с помощью  специальных средств.
       3. Обеспечение постоянного доступа  к системе, данным и услугам  всем уполномоченным пользователям.
       4. Обеспечение соблюдения законов,  правил, лицензий, договоров и этических  норм при использовании информации. 

       Аналитический этап.
       Основной  задачей аналитического этапа является сбор, систематизация и обработка информации о потенциальных угрозах, каналах утечки информации, а также разработка эталонов и критериев эффективности защиты информации, рассмотрение характеристик существующих аппаратно-программных средств защиты.
       Выявляют  возможные угрозы системе, с выделением потенциальных. Определяют каналы несанкционированного доступа и утечки информации и выделяют категории объектов, подлежащих защите. При этом следует рассматривать не только каналы утечки информации, обусловленные свойствами технических средств и несовершенством программного обеспечения, но и возможностью осуществления несанкционированного доступа и реализации программных злоупотреблений. Такой подход к выявлению потенциальных каналов несанкционированного доступа и утечки информации определяется необходимостью комплексного решения проблемы защиты информации, включая борьбу с промышленным шпионажем.
       Определяются  критерии эффективности СИБ, в их числе выделяют: целевые; технические; эффективности жизненного цикла; экономические; эффективности управления; социальные.
       На  данном этапе определяются также  допустимые ограничения, накладываемые  системой информационной безопасности на компьютерную систему (например, уменьшение производительности аппаратной и программной  составляющих, ограничения административно-организационного плана и др.).
       При разработке эталонов информационной безопасности определяются основные требования с  точки зрения производительности. К  ним относят требования технического, правового и экономического характера.
       В качестве технических требований рассматривают  эффективность системы защиты, время  реагирования на нарушение и т.д.
       К правовым требованиям относят соблюдение правовых актов и законов, относящихся  к области защиты информации и  обработки данных.
       К экономическим требованиям относят  параметры соотношения “стоимость-производительность”.
       При анализе характеристик существующих аппаратно-программных средств защиты определяются те, которые удовлетворяют  требованиям разработанного эталона  информационной безопасности. Определяются системы шифрования, используемые при  обработке, приеме-передаче и хранении информации в системе.
       Важно отметить, что чем больше охват  рассматриваемых систем и методов, тем надежнее будет функционировать  СИБ. Другим важным моментом является совместимость рассматриваемых  средств с функционирующей системой (в т.ч. аппаратная часть, операционная система, прикладные программы).  

Включающий в себя обнаружение опасных уязвимостей (слабостей в системе защиты), которые могут быть использованы злоумышленниками для получения конфиденциальной информации, вывода отдельных компонентов АИС из строя, полной дезорганизации работы вычислительной системы Заказчика. По результатам аудита готовятся предложения и рекомендации по внесению изменений в конфигурацию программного обеспечения узлов сети и коммуникационного оборудования, по применению дополнительных мер организационного характера и средств защиты.
В рамках такого проекта  выполняются следующие работы:
    Анализ безопасного подключения к глобальным сетям общего пользования.
    Анализ настроек межсетевых экранов, коммуникационного оборудования и программного обеспечения.
    Анализ защищенности систем, предоставляющих доступ к внутренним информационным ресурсам организации через глобальные сети общего пользования.
    Определение возможных каналов доступа к узлам вычислительной сети со стороны внутренних (сотрудников организации) и внешних злоумышленников.
    Установка и настройка стандартных средств обеспечения информационной безопасности операционных систем, маршрутизаторов, сервисов Internet, межсетевых экранов, прикладного программного обеспечения, SQL и Web серверов.
   Исследовательский этап.
       На  исследовательском этапе определяется допустимая степень риска, политика безопасности, набор процедур и методов несанкционированного доступа к ресурсам АИС.
       При анализе степени риска и определении  величин возможных потерь в случае нарушения целостности СИБ проводится анализ состояния системы и оценка видов угроз, с учетом имеющихся  механизмов защиты.
       Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что в каждой АИС, и в каждом узле существует своя граница "допустимости" потерь, определяемая ценностью информации, масштабами разработок, бюджетом и  множеством других политических, организационных, экономических и этических факторов. В случае, если потери меньше, чем  затраты, требуемые на разработку, внедрение  и эксплуатацию средств защиты, и  если с точки зрения интересов  АИС возможный несанкционированный  доступ не приведет к существенным изменениям в работе, то такой риск считается допустимым. Однако, необходимо учитывать, что в большинстве случаев исключается даже незначительная утечка информации, например, когда речь идет о содержании конфиденциальной информации - анализ коньюктуры рынка, новых технологий или оригинальных технических решений.
       Результаты  анализа риска служат основой  для:
       - улучшения осведомленности персонала.  Обсуждение вопросов защиты может  повысить интерес сотрудников  к данной проблеме и приведет  к точному выполнению ими требований  политики безопасности.
       - определения сильных и слабых сторон системы контроля. Многие компании не имеют полной информации о своей вычислительной базе и ее слабых сторонах. Систематический анализ позволит сформировать всестороннюю информацию о состоянии вычислительной системы и степени риска;
       - подготовки и принятия решений.  Система контроля снижает производительность  системы и вносит дополнительные  ограничения в работу. Некоторые  виды контроля достаточно сложны  и их применение не может  быть оправдано теми преимуществами, которые они обеспечивают. С другой  стороны, существуют настолько  серьезные виды риска, что поиск  и разработка новых, более эффективных  средств контроля, является необходимой  мерой. В любом случае выявленная  степень риска определяет уровень  необходимых средств контроля;
       - определения затрат на организацию  защиты. Реализация механизмов защиты  требует достаточных ресурсов и их работа скрыта от пользователей. Анализ риска помогает определить главные требования к механизмам защиты. При этом необходимо отметить, что чем меньше затраты на организацию защиты, тем выше риск потери информации.
       Кроме того, при создании СИБ следует  выделять следующие управляемые  виды риска:
       1. Финансовый. Данный вид риска  является основным. Слишком высокий  финансовый риск допустим только  в случае уникальности защищаемой  информации. Следует отметить, что  не для всех АИС (даже государственных  организаций и учреждений), могут  авансироваться достаточно большие  денежные и материальные средства  на создание и поддержку СИБ.  Снижение финансового риска допускается  за счет управления другими  видами риска и сведения их  значений к минимально допустимым.
       2. Технический. Этот вид риска  присутствует повсеместно и распространяется  на весь спектр аппаратных  и программных средств защиты.
       3. Проектный. Техническая сложность  проектируемой СИБ должна соответствовать  квалификации и опыту персонала  и обеспечивать завершенность  и целостность системы.
       4. Функциональный. При завершении  проектирования СИБ может оказаться,  что функциональное наполнение  не соответствует заданным требованиям.  В результате возникает потребность  в дополнительных исследованиях  и разработках по уточнению  и совершенстованию функционального наполнения.
       5. Системный. Если система спроектирована  таким образом, что она отвечает  основным требованиям окружающей  среды и обеспечивает сохранность  информации и ресурсов от несанкционированного  доступа, использования и распространения  и все предварительные допущения  относительно основных функций  выполнимы, то СИБ считается  законченной. Следует учитывать,  что система должна быть открытой  по отношению к нововведениям  в области вычислительной техники,  коммуникаций и программного  обеспечения, а также защиты  информации, одновременно с этим, недопустимы частые и радикальные  изменения системы информационной  безопасности.
       Одним из основных и весьма сложных вопросов создания СИБ является разработка и  принятие политики безопасности. Под  политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критической  информации в АИС. Она должна охватывать все особенности процесса обработки  информации, определять поведение системы  в различных ситуациях.
       При разработке политики безопасности, в  первую очередь, определяется способ управления доступом, порядок доступа субъектов  системы к объектам.
       Важным  моментом является разработка механизмов обнаружения попыток несанкционированного доступа к защищаемым ресурсам, которые  могут базироваться на экспертных системах и включать регистрацию, распознавание  и обработку событий, связанных  с доступом к информации, а также  проверку в реальном масштабе времени  соответствия всех условий доступа, принятых в концепции СИБ и  защиты данных.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.