Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах - файл n1.doc

приобрести
Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах
скачать (492.5 kb.)
Доступные файлы (1):
n1.doc493kb.07.07.2012 03:14скачать

n1.doc

  1   2   3   4   5   6   7   8   9   ...   12


УДК 681.326

Петров В.А., Пискарев А.С., Шеин А.В.

Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах.

Учебное пособие. Изд. 2-е, испр. и доп. М.: МИФИ. 1995.- 84с.
Учебное пособие является вторым изданием под аналогичным заглавием, переработанным и дополненным. Оно является частью цикла учебной литературы под общим названием ''Информационная безопасность" и предназначено для использования при подготовке специалистов по программно-аппаратным методам обеспечения безопасности информации. Цель пособия – ознакомить учащихся с основными проблемами защиты информации в автоматизированных системах (АС). В пособии приводятся перечень угроз безопасности информации в АС, концептуальная модель системы зашиты информации (СЗИ), функциональная структура СЗИ, рассматриваются основные подходы к созданию СЗИ в АС, правовые вопросы защиты информации, вопросы проектирования, внедрения и эксплуатации СЗИ, излагаются основные требования к проектированию СЗИ, организационные основы ее эксплуатации.

Пособие предназначено для студентов факультета "К" и слушателей. занимающихся на курсах повышения квалификации сотрудников ЦБ РФ по специальности "Телекоммуникационные системы и их средства зашиты".

ISBN 5-7262-0139-6

© Петров В.А. Пискарев А.С. Шеин А.В., 1995 г © Московский государственный инженерно-физический институт (технический университет). 1995 г.

Введение


Широкое внедрение в сферу обработки информации автоматизированных систем на базе электронной вычислительной техники, а также утверждение за информацией статуса материального ресурса потребовали разработки специальных мер, средств и систем защиты информации.

В настоящее время во многих странах тратятся значительные средства как государственными, так и частными организациями на создание систем обеспечения зашиты информации, составляющей государственную, служебную и частную тайны.

Под зашитой информации принято понимать создание в автоматизированной системе организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации [1]. В дальнейшем под автоматизированной системой (АС) будем понимать человеко-машинную систему, предназначенную для решения определенного круга прикладных задач.

Уязвимость информации возрастает по мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации. Это связано с процессами интеграции информации в базах данных, расширением крута лиц, имеющих доступ к интегрированным базам данных через компьютерные сети и системы коллективного пользования, широким распространением персональных ЭВМ и подключением их к компьютерным сетям; совершенствованием средств разведки и шпионажа различных уровней. Причем информация, обладая всеми свойствами материальных ресурсов, имеет специфическую особенность – неисчерпаемость ресурса, что усложняет фиксацию факта ее хищения.

В зависимости от типа АС и ее функциональной специализации возможны различные реализации систем зашиты, которые определяются главным образом спецификой угроз безопасности информации в каждой конкретной АС и экономическими соображениями. В частности, возможна постановка задачи проектирования системы защиты информации (СЗИ) по критерию экономической эффективности, учитывающему как затраты на создание СЗИ, так и потери, связанные с утратой и/или утечкой информации, т.е. с неправомерным выходом конфиденциальной информации за пределы организации или крута лиц, которым эта информация доверена.

Из-за значительного числа каналов перехвата информации и возможных угроз ее уничтожения или искажения практически в любой АС проектирование СЗИ является сложным процессом, охватывающим задачи разработки организационно-правовых, аппаратных и программных средств защиты информации, их комплексной увязки и оценки эффективности СЗИ в целом.

В дальнейшем изложении в соответствии с [33] под несанкционированным доступом (НСД) к информации будем понимать: доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или АС. При этом под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ и АС.

В связи с этим не рассматриваются вопросы, связанные с несанкционированным получением информации путем перехвата ее через электромагнитные излучения или наводки (ПЭМИН), создаваемые работающими СВТ.

1. Задачи систем обеспечения безопасности информации и автоматизированных системах.

1.1. Возможные угрозы безопасности информации и их специфика.


Роль информации в жизни общества чрезвычайно высока. Адекватное поведение каждого члена общества возможно только при наличии полной и достоверной информации о среде его деятельности и предмете его устремлений, при обеспечении безопасности конфиденциальной информации, находящейся в его распоряжении. Соответственно, и выполнение возложенных на АС функций возможно при соблюдении тех же условий.

Событие (или действие), которое может вызвать нарушение функционирования АС, включая искажение, уничтожение или несанкционированное использование обрабатываемой в ней информации, называется угрозой. Возможность реализации тех или иных угроз в АС зависит от наличия в ней уязвимых мест. Количество и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями АС, наличием средств защиты и их характеристик.

Рассмотрим обобщенный перечень возможных угроз, типичный для любой АС, основываясь на материалах, изложенных в [1]. Условно все возможные угрозы можно разделить на три группы в соответствии с тремя видами источников угроз (табл.1).

Угрозы первой группы независимы от людей. Они либо связаны с прямым физическим воздействием на элементы АС (ураганы, наводнения, пожары и т.п.) и ведут к нарушению работы АС и физическому уничтожению носителей информации, средств обработки и передачи данных, обслуживающего персонала, либо оказывают электромагнитное воздействие на магнитные носители информации, электронные средства обработки и передачи данных, обслуживающий персонал и ведут к отказам и сбоям аппаратуры, искажению или уничтожению информации, ошибкам персонала.

Угрозы второй группы связаны с надежностью технических средств систем обеспечения работы АС. Сюда относятся внезапное временное прекращение работы АС, ведущее к потерям информации и управления объектами в управляющих АС, а также ненадежная работа аппаратно-программных средств, ведущая к искажению и потерям информации, нарушениям в управлении объектами.

Таблица 1.

Природные

Технические

Созданные людьми

1.1. Стихийные бедствия.


1.2. Магнитные бури


1.3. Радиоактивное излучение и осадки и т.п.

2.1. Отключения или колебания электропитания и других средств обеспечения.
2.2. Отказы и сбои программно-аппаратных средств.
2.3. Электромагнитные излучения и наводки.

3.1. Непреднамеренные действия:

обслуживающего персонала;

управленческого персонала;

программистов;

пользователей АС;

архивной службы;

службы безопасности.

3.2. Преднамеренные действия:

обслуживающего персонала;

управленческого персонала;

программистов;

пользователей АС;

архивной службы;

службы безопасности.

несанкционированных пользователей (военная разведка, коммерческий шпионаж, диверсии)

К угрозам этой же группы относятся электромагнитные излучения за счет которых осуществляется несанкционированный перенос информации за пределы АС, что приводит к утечке информации, и утечка информации через легальные каналы связи за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.

Угрозы третьей группы связаны с наличием людей как в АС, так и вне ее.

К данной группе относятся случайные непреднамеренные действия пользователей, ошибки операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности, которые ведут к искажению или уничтожению информации, нарушению выполнения АС своих функций, ошибкам в работе программ и средствах управления безопасностью АС.

Угрозы третьей группы связаны и с преднамеренными действиями людей, направленными на нанесение ущерба АС, получение личных привилегий и доходов. Данная группа угроз является наиболее многочисленной. Возможны:



  1   2   3   4   5   6   7   8   9   ...   12


Учебный материал
© nashaucheba.ru
При копировании укажите ссылку.
обратиться к администрации