Студопедия — Методы и средства построения систем информационной безопасности и их структура
Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Методы и средства построения систем информационной безопасности и их структура






Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

- Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

- Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

- Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам ИС минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

- Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.

- Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

- Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

- Обеспечение всевозможных средств борьбы с вредоносными программами.

- Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

Методы и средства обеспечения безопасности информации в ИС схематически представлены на рис. 9.1.

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Рис. 9.1. Методы и средства обеспечения безопасности информации

Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

- опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Механизмы шифрования — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по
каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.


Список литературы

1. Автоматизация расчетов по материально-техническому обеспечению производства /В.Ф. Ситник, Н.С. Пличук, Б.Г. Волков. -К.: Техника, 1990.

2. Автоматизация управления предприятием / В. В. Баронов и др. — М.: ИНФРА-М, 2000. —239 с.

3. Автоматизированные информационные технологии в экономике: Учеб. / М. И. Семенов и др.; Под общ. ред. И. Т. Трубилина. — М.: Финансы и статистика, 1999. — 416 с.

4. Антонюк Б.Б. Информационные системы управления. -М., 1986.

5. Бажин И.И. Информационные системы менеджмента. – М.: ГУ-ВШЭ, 2000. – 688с.

6. Балагин В.В. Теоретические основы автоматизированного управления: Учеб. пособие для вузов. -Мн.: Вишейшая школа, 1991.

7. Баронов В. В., Попов Ю. И., Позин Б. А., Титовский И. Н. Особенности использования и внедрения ERP-систем в России: Материалы Internet. — Http: //www.citforum.ru

8. Барсуцкий Я.Г. Информационная система управления. - К.: Наукова думка, 1986.

9. Береза А. М. Основи створення інформаційних систем: Навч. посібник.—2-ге вид., перероб. і доп.—К.: КНЕУ, 2001.—214с.

10. Берсуцкий Я.Г. Информационная система управления предприятием. - К.: Наукова думка, 1986.

11. Берсуякий Я.Г. Информационная система управления. - К.: Наукова думка, 1986.

12. Бойко В.В., Савинков В.М. Проектирование баз данных информационных систем. - М.: Финансы и статистика, 1991.

13. Васильев Р.Ф. Охота за информацией. М., 1973, с.20.

14. Введение в информационный бизнес: Учеб. пособие /О.В. Голосов, С.А. Охрименко, А.В. Хорошилов и др. Под ред. В.П. Тихомирова, А.В. Хорошилова. -М.: Финансы и статистика, 1996.

15. Внедрение ERP-систем (эталонный процесс). Материал Internet. — http: //koi.citforum.tula.ru

16. Вовканыч С.И., Парфенцева Н.А. “Социальный интеллект”: метафора или научное понятие? // Социс, 1993, № 8, с.153.

17. Вовчак І.С. Автоматизовані системи менеджменту. - Тернопіль: СМП «Астон», 1998.

18. Вовчак І.С. Інформаційні системи та комп'ютерні технології в менеджменті. Навчальний посібник. - Тернопіль: Карт-бланш, 2001. -354 с.

19. Гордієнко І. В. Інформаційні системи і технології в менеджменті: Навч.-метод. посібник для самост. вивч. дисц. — 2-ге вид., перероб. і доп. — К.: КНЕУ, 2003. — 259 с.

20. Грабауров В.А. Информационные технологии для менеджеров. — М.: Финансы и статистик», 2001.— 368 с.

21. Громов Г.Р. Очерки информационной технологии. М., 1993, с. 19-20.

22. Гужва В.М. Інформаційні системи і технології на підприємствах: Навч. посібник. – К.: КНЕУ, 2001. – 400с.

23. Давинський Г. В. Побудова і функціонування складних систем управління. - К.: Вита щкола, 1989.

24. Данилевский Г.Ю., Петухов И.А., Шибанов B.C. Информационная технология в промышленности. - Л.: Машиностроение, 1988.

25. Информационные технологии управления: Учеб. пособие для вузов /Под ред. проф. ГА. Титоренко. - 2-е изд., доп. — М.: ЮНИТИ-ДАНА, 2003. - 439 с.

26. Колин К.К. Социальная информатика - научная база постиндустриального общества // Социальная информатика - 94, М., 1994, с.5.

27. Компьютеризация информационных процессов на промышленных предприятиях /В.Ф. Ситник, С.П. Риппа и др. - К.: Техника; - Катовице: Экономическая академия им. Карола Адамецкого, 1991.

28. Литвин І. Інформаційні процеси в управлінні. -Тернопіль: Економічна думка, 1998.

29. Мельников В. Защита информации в компьютерных системах. — М.: Финансы и статистика, Элекгронинформ, 1997.

30. Опис системи mySAP SCM: Матеріали Internet. — http: //www. sap.com/cis/solutions/scm/

31. Опис стандартів IDEF: Матеріали Internet. —http: //www.idef.com

32. Ракитов А.И. Философия компьютерной революции. М.1991, с.32-33.

33. Ріппа С.П. Прийняття рішень в економіці на основі комп'ютерних баз знань. -Львів: Каменяр, 1997.

34. Роза К. де. Эволюция развития информационных систем. Методология CSRP: Материалы Internet. — http: //www.tline.ru

35. Системный А. Мир систем управления: Материалы Internet. — Б/а.

36. Ситник В. Ф., Писаревська Т. А., Єрьоміна Н. В., Краєва О. С. Основи інформаційних систем: Навч. посібник / За ред. В. Ф. Ситника. —- 2-ее вид., перероб. і доп. — К.: КНЕУ, 2001. — 420 с.

37. Ситник В.Ф., Гужва В.М. та ін. Системи підтримки прийняття рішень. - К.: Техніка, 1995.

38. Ситник В.Ф., Сорока X., Еремина Н.В. и др. Компьютеризация информационных процесов на промышленных предприятиях. -К.: 1991.

39. Соколова И.В. Проблемы становления информатики как учебной дисциплины // Социальная информатика - 95, М., 1995, с.19-22.

40. Соломатин Е. CRM — бизнес на лояльности. Business Online 7/2001: Матеріали Internet. — http: //www.telecominfo.ru

41. Твердохлеб Н.Г. Машинная обработка экономической информации промышленных предприятий и объединений. - М.: Статистика, 1979.

42. Тычков Ю.И. Совершенствование управления промышленным предприятием с использованием информационных систем. -Новосибирск, 1988.

43. Урсул А. Информатизация партии: необходимость концепции и принципы ее разработки // Кадры партии, 1990, №2, с.71.

44. Эглинтайн Н. Что такое ERP?: Материалы Internet. — http: //www. consulting.ru.


 


[1] - от лат. mediatus - выступающий посредником

[2] термин “безбумажная информатика” введен академиком Глушковым В.М.

[3] - широкий обмен мыслями, значениями, в которые вступает каждый новый автор и каждый новый текст.

[4] - взаимодействие между текстами







Дата добавления: 2014-11-12; просмотров: 1482. Нарушение авторских прав; Мы поможем в написании вашей работы!



Практические расчеты на срез и смятие При изучении темы обратите внимание на основные расчетные предпосылки и условности расчета...

Функция спроса населения на данный товар Функция спроса населения на данный товар: Qd=7-Р. Функция предложения: Qs= -5+2Р,где...

Аальтернативная стоимость. Кривая производственных возможностей В экономике Буридании есть 100 ед. труда с производительностью 4 м ткани или 2 кг мяса...

Вычисление основной дактилоскопической формулы Вычислением основной дактоформулы обычно занимается следователь. Для этого все десять пальцев разбиваются на пять пар...

Влияние первой русской революции 1905-1907 гг. на Казахстан. Революция в России (1905-1907 гг.), дала первый толчок политическому пробуждению трудящихся Казахстана, развитию национально-освободительного рабочего движения против гнета. В Казахстане, находившемся далеко от политических центров Российской империи...

Виды сухожильных швов После выделения культи сухожилия и эвакуации гематомы приступают к восстановлению целостности сухожилия...

КОНСТРУКЦИЯ КОЛЕСНОЙ ПАРЫ ВАГОНА Тип колёсной пары определяется типом оси и диаметром колес. Согласно ГОСТ 4835-2006* устанавливаются типы колесных пар для грузовых вагонов с осями РУ1Ш и РВ2Ш и колесами диаметром по кругу катания 957 мм. Номинальный диаметр колеса – 950 мм...

Признаки классификации безопасности Можно выделить следующие признаки классификации безопасности. 1. По признаку масштабности принято различать следующие относительно самостоятельные геополитические уровни и виды безопасности. 1.1. Международная безопасность (глобальная и...

Прием и регистрация больных Пути госпитализации больных в стационар могут быть различны. В цен­тральное приемное отделение больные могут быть доставлены: 1) машиной скорой медицинской помощи в случае возникновения остро­го или обострения хронического заболевания...

ПУНКЦИЯ И КАТЕТЕРИЗАЦИЯ ПОДКЛЮЧИЧНОЙ ВЕНЫ   Пункцию и катетеризацию подключичной вены обычно производит хирург или анестезиолог, иногда — специально обученный терапевт...

Studopedia.info - Студопедия - 2014-2024 год . (0.014 сек.) русская версия | украинская версия