СОДЕРЖАНИЕ


Введение…………………………………………………………………………….........................3


Методы и средства защиты информации в информационных системах………………………..4


Заключение…………………………………………………………………………………………6


Список использованной литературы…………………………………………………………...7


Введение

Цель работы: показать методы и средства защиты информации в информационных системах.

Россия стоит перед необходимостью осознания и принятия исторического вызова, связанного с вступлением человечества в эпоху формирования мирового информационного сообщества. Современные информационные технологии существенно изменяют не только структуру экономики, но и образ жизни, образ мышления людей, механизмы функционирования общественных институтов, институтов государственной власти. Они становятся действенным фактором общественного развития. В то же время, широкое распространение информационных технологий способствует появлению новых угроз конституционным правам и свободам граждан, формированию здравого общественного мнения, позитивному развитию духовной жизни, безопасности Российского государства в целом. Эти технологии могут быть использованы для разрушительного воздействия на психику человека, информационную сферу общества и государства. Деятельность в области информационной безопасности призвана обеспечить достойный ответ России на исторический вызов, защиту законных интересов граждан, общества и государства в информационной сфере. Информационная безопасность России находится на критическом уровне, что чревато потерей информационного суверенитета личности, общества, государства. Продолжается нарушение конституционных прав граждан на информационную деятельность, включая право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, право получать достоверную информацию о состоянии окружающей среды, а также право граждан на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых и иных сообщений, защиту своей чести и доброго имени. Имеют повсеместное распространение немотивированные отказы представителей органов государственной власти в предоставлении журналистам и гражданам интересующей их информации. Отсутствие общедоступных архивов информационных ресурсов федеральных органов государственной власти, органов власти субъектов Российской Федерации, местного самоуправления, является благодатной почвой для коррупции чиновников. В связи с быстрым развитием компьютерных технологий, резким увеличением информационных потоков и низким уровнем информационной культуры значительно расширились масштабы угрозы неосознаваемого воздействия на личность. Сохраняется тенденция разрушения инфраструктуры единого информационного пространства России, снижения эффективности его использования в интересах прогрессивного общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации. Сохраняется и усиливается техническая и технологическая зависимость России от иностранных государств в информационной сфере. Практически не развивается отечественное производство конкурентоспособных средств и систем информатизации и связи. Информатизация как государственных, так и коммерческих структур осуществляется в основном на базе зарубежной технологии и компьютерной техники. Отсутствует достаточная государственная поддержка отечественных фундаментальных и прикладных исследований и разработок в сфере информатизации. Недостаточно эффективно функционируют правовые и организационные механизмы регулирования отношений собственности на информационные ресурсы, отношений собственности по обеспечению законных ограничений на доступ к конфиденциальной информации, а также к информации, отнесенной к государственной тайне. Особенно тревожное положение складывается в области охраны интеллектуальной собственности. По данным экспертов не менее 60 % отечественного и 95% иностранного программного обеспечения копируется нелегальным способом. Объем доходов, скрытых от налогообложения в этой области, превышает триллион рублей. При этом судебная практика по вопросам нарушения прав интеллектуальной собственности фактически отсутствует. Медленно реформируются системы сбора, хранения и рационального использования информационных ресурсов.

Методы и средства защиты информации в информационных системах

Защита от несанкционированного доступа может осуществляться в разных составляющих информационной системы: 1. прикладное и системное ПО; 2. аппаратная часть серверов и рабочих станций; 3. коммуникационное оборудование и каналы связи; 4. периметр информационной системы. Для защиты информации на уровне прикладного и системного ПО обычно используются: системы разграничения доступа к информации; системы идентификации и аутентификации; системы аудита и мониторинга; системы антивирусной защиты. 1 В коммуникационных системах используются следующие средства сетевой защиты информации:

- межсетевые экраны (Firewall) – для блокировки атак из внешней среды (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway и Alteon Switched Firewall от компании Nortel Networks). Они управляют прохождением сетевого трафика в соответствии с правилами (policies) безопасности. Как правило, межсетевые экраны устанавливаются на входе сети и разделяют внутренние (частные) и внешние (общего доступа) сети;

- системы обнаружения вторжений (IDS - Intrusion Detection System) – для выявления попыток несанкционированного доступа как извне, так и внутри сети, защиты от атак типа «отказ в обслуживании» (Cisco Secure IDS, Intruder Alert и NetProwler от компании Symantec). Используя специальные механизмы, системы обнаружения вторжений способны предотвращать вредные действия, что позволяет значительно снизить время простоя в результате атаки и затраты на поддержку работоспособности сети;

- средства создания виртуальных частных сетей (VPN - Virtual Private Network) – для организации защищенных каналов передачи данных через незащищенную среду (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Виртуальные частные сети обеспечивают прозрачное для пользователя соединение локальных сетей, сохраняя при этом конфиденциальность и целостность информации путем ее динамического шифрования;

- средства анализа защищенности - для анализа защищенности корпоративной сети и обнаружения возможных каналов реализации угроз информации (Symantec Enterprise Security Manager, Symantec NetRecon). Их применение позволяет предотвратить возможные атаки на корпоративную сеть, оптимизировать затраты на защиту информации и контролировать текущее состояние защищенности сети.

Безопасность в Internet

В Internet информационных системах по сравнению с классическими системами архитектуры «клиент-сервер» вопросы информационной безопасности решаются намного проще. Это связано прежде всего со следующими особенностями: гораздо большая часть информационных ресурсов централизована - их предоставляет сервер, а централизованными ресурсами не только легче управлять, но их и легче защищать; для обмена информацией между рабочими станциями и сервером используется протокол TCP/IP, для которого разработана система защитных средств, включая криптографические; на рабочих станциях выполняется только WWW просмотрщик и программы интерпретации Web-документов сервера, которые загружаются непосредственно с сервера.

Принципы безопасности

Решение проблемы защиты информации состоит в использовании организационно-технологических (административных), технических и программных мер, а так же в профилактической работе среди пользователей для уменьшения возможностей для несанкционированного доступа к информации. В целом система защиты информации строится на: конверсии технологий информационной безопасности и защиты информации и информационных систем, телекоммуникационной среды от несанкционированного использования и воздействий; обеспечении защиты ресурсов за счет параллельного доступа к управляющим базам данных и проверки полномочий при обращении к ресурсам сети; реконфигурации сетей, узлов и каналов связи; организации замкнутых подсетей и адресных групп; развития специализированных защищенных компьютеров, локальных вычислительных сетей и корпоративных сетевых сегментов (что особенно важно для разработчиков информационных систем); обеспечении защиты технических средств и помещений от утечки информации по побочным каналам и от возможного внедрения в них электронных устройств съема информации; развитии и использовании технологий подтверждения подлинности объектов данных, пользователей и источников сообщений; использовании протоколов шифрования IP пакетов, систем шифрования учетных данных и прав доступа к информации, передача информации с использованием секретных ключей; применении технологий обнаружения целостности объектов данных.

Организационно-технологические подходы

Любая информационная система, построенная на основе клиент-серверных Интернет технологий с учетом системы безопасности, должна содержать следующие серверные компоненты: шлюз-сервер, управляющий правами доступа к информационной системе; WWW-сервер; сервер баз данных; сервер приложений и (или) сервер обработки транзакций. При этом среди организационно-технологических мероприятий по защите информационных систем можно выделить три основных: 1. Организация системы защиты на уровне IP пакетов (технологический уровень Модель OSI). 2. Административный уровень защиты - контекстная проверка и просмотр пакетов с целью принятия решения. 3. Программный уровень защиты. Шлюз выступает в качестве промежуточного звена между Информационной системой и клиентом.

Шифрование

Для обеспечения конфиденциальности передаваемой по сети информации и организации авторизованного доступа к информации используются различные способы кодирования (шифрования) информации, как на уровне приложений, так и на уровне пакетов. Использование шифрования на уровне приложений определяется конкретным пользователем, в то же время Интернет технологии позволяют организовать шифрование сообщений не зависимо от приложений на уровне IP пакетов. Протокол, управляющий шифрованием трафика IP пакетов SKIP (Simple Key mamagement for Internet Protocol - Простой протокол управления криптоключами в Интернет), разработан компанией Sun Microsystems и предложен в качестве стандарта Internet. 1

Авторизация

Важным организационно-технологическим аспектом является организация системы авторизованного доступа к информации. Метод использующий стандартную систему паролей при работе с WWW сервером, даже при использовании системы шифрования протокола, не надежен в связи с тем, что сеанс работы кэшируется просмотрщиком, и при неаккуратной работе пользователя пароль может остаться в кэше компьютера. Для защиты от не аккуратного пользователя используется передача паролей зашифрованная открытом короткоживущим (на время сеанса) ключом.

Защита сети

Несколько слов о защите сети в целом. Одним из мероприятий, обеспечивающим высокую защищенность сети и низкую величину потенциального ущерба, который способны нанести атакующие, является планирование топологии сети и размещения сетевых ресурсов с учетом требований безопасности. У большинства сетевых протоколов передачи данных есть свои особенности, влияющие на то, в какой конфигурации сети эти данные могут быть перехвачены третьими лицами или фальсифицированы. Анализ конфигурации сети с этой точки зрения и внимание к защищенности важных сегментов сети, как, например, сегментов, по которым технический персонал осуществляет удаленное управление серверами и маршрутизаторами, может существенно улучшить общую защищенность сети.

Заключение

На практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на каком-либо объекте какой-либо информационной системы, а также передаваемой по каким-либо каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения определенных задач по обеспечению информационной безопасности. Иначе говоря, при организации обеспечения информационной безопасности закономерно возникает необходимость в создании комплексной системы защиты информации, включающей в себя: организационную защиту информации; правовую защиту информацию; программно-аппаратную защиту информации; инженерно-техническую защиту информации.

Качество (надежность и эффективность) защиты зависит не только от видов составляющих системы, но и от их полноты, которая может быть обеспечена только при учете всех факторов и обстоятельств, сопутствующих функционированию информационной системы. Поэтому комплексная система защиты информации призвана объединить логические и технологические составляющие защиты, учитывая все факторы, которые оказывают или могут оказывать влияние на качество защиты.

Более того, комплексная система защиты информации предназначена обеспечивать, с одной стороны, организацию и обеспечение надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим, кроме принятия организационных мер и внедрения программно-аппаратных и инженерно-технических средств, руководством должна предусматриваться организация четкой и отлаженной системы управления защитой информации на предприятии.

Множество требований к комплексной системе защиты информации не ограничивается только описанными в этой статье. В большинстве случаев они предъявляются с учетом условий и параметров работы конкретных информационных систем и стоящих перед ними функциональных задач. Сейчас многими специалистами на самых разных уровнях ведутся исследования в области защиты информации, разрабатываются новые средства и методы обеспечения информационной безопасности, зарождается четкая нормативно-правовая основа решения данной проблемы как в государственном масштабе, так и на уровне отдельных сегментов и субъектов экономики.

Налицо тот факт, что в нашей стране происходит переосмысление многих вопросов становления и развития информационного рынка, которые неизбежно сопровождаются возникновением самых разнообразных проблем, главной из которых является обеспечение информационной безопасности, поэтому образование на этом рынке сектора, в задачи которого входит обеспечение защиты информации, является вполне закономерным и весьма необходимым. Таким образом, можно с уверенностью сказать, что защита информации (в самом широком ее понимании) - незаменимое средство обеспечения корректности, добросовестности и законности во всех сферах информационной экономики, рассматривающей и включающей в себя информационный рынок, а также любую деятельности, так или иначе, связанную с генерированием, обработкой, передачей информации и использованием ее в научных, коммерческих, политических и иных интересах. При этом защита информации подразумевает собой защиту авторских, патентных и прочих прав собственников и владельцев информации, защиту сведений личного характера от несанкционированного разглашения или использования и защиту государственной тайны, что способствует укреплению и поддержанию в России как экономической, так и социально-политической стабильности.

Список использованной литературы


1. Голубев В.В. Интернет и оперативно-розыскная деятельность // «Законодательство» - 1999 - №11.


2. Компьютерные технологии обработки информации: Учеб. пособие. / Под ред. С. В. Назарова. – М.: Финансы и статистика, 1995.


3. Левин А. Самоучитель работы на компьютере. – 5-е изд. – М.: Нолидж, 1999 г.


4. Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика, 1999 г.


5. Об информации, информатизации и защите информации. Федеральный закон от 22 февраля 1995 г. // Российская газета. – 1995. – 22 февраля.



1 Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика, 1999 г. С. 57 – 61.

1 Левин А. Самоучитель работы на компьютере. – 5-е изд. – М.: Нолидж, 1999 г. С. 118 – 123.