- ОГЛАВЛЕНИЕ Лекция 1
- УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ……………………..
- ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ …….. 51 Лекция 5
- АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ………………………………….
- УПРАВЛЕНИЕ РИСКАМИ…………..
- АППАРАТНО-ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ…………………
- ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ…………………………………….
- КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВА И ОРГАНИЗАЦИОННЫХ СТРУКТУР……………
- Лекция 14 МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ ОБЩЕСТВА И ЕГО СТРУКТУР………………………………
- Лекция 15 ВСЕМИРНАЯ ПАУТИНА – WORLD WIDE WEB (WWW) …………………….
- ПРИЛОЖЕНИЯ…………………………………………….
- Рис. 1.1. Схема основных причин повышения остроты в проблеме обеспечения безопасности Проблемы безопасности ЛВС
Информационная безопасность. Информационная безопасность и защита информации
 Скачать 1.98 Mb.
|
|
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ Государственное образовательное учреждение высшего профессионального образования «Ивановский государственный энергетический университет им. В.И.Ленина» Б.А. Баллод ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ  КУРС ЛЕКЦИЙ Иваново 2010 УДК Б 20 Баллод Б.А. Информационная безопасность и защита информации: Курс лекций/ ГОУВПО «Ивановский государственный энергетический университет им.В.И. Ленина».- Иваново, 20010. 304 с 1SBN Рассмотрены вопросы построения комплексной системы защиты информации в корпоративных информационных системах, необходимые для подготовки и практической деятельности специалистов специальностей 032001.65 «Документоведение и документационное обеспечение управления» и 080801.65 «Прикладная информатика» в рамках дисциплины «Информационная безопасность и защита информации». Изложена методика категоризирования объектов защиты, анализа рисков информационной безопасности и методы защиты, включая правовые, организационные и аппаратно-программные, а также методологические основы обеспечения информационной безопасности общества. Табл.29 .Ил.13. Печатается по решению ученого совета ГОУВПО «Ивановский государственный энергетический университет им. В.И. Ленина» Рецензент кафедра информационных технологий ГОУВПО «Ивановский государственный энергетический университет им. В.И.Ленина» Баллод Борис Анатольевич Информационная безопасность и защита информации Курс лекций Редактор Н.Б. Михалева Подписано в печать ‘Формат 60х84’/16. Печать плоская. Условия печати 17,66. Уч.-изд.19. Тираж 50 экземпляров. Заказ ГОУВПО «Ивановский государственный энергетический университет им. В.И.Ленина» 153003, г. Иваново, ул.Рабфаковская, 34 © Б.А. Баллод, 2010
ПРИЛОЖЕНИЯ…………………………………………….282 Лекция 1. Информационная безопасность Предисловие Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла практически на заре человечества. С развитием общественных отношений, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает все большую ценность. Наиболее ценной становится та информация, единоличное обладание которой позволяет ее владельцу получить какой-либо или материальный, или политический, или военный выигрыш. С переходом на использование технических средств связи информация подвергается воздействию неблагоприятных случайных процессов: неисправностей и сбоев аппаратуры, ошибок операторов и т.п., которые могут привести к ее разрушению, изменениям, потере, а также создать предпосылки для доступа к ней посторонних лиц. С появлением автоматизированных систем и информационно-вычислительных сетей проблема защиты информации приобретает еще большее значение. Автоматизированные информационно-документационные системы (АИС) играют все более значимую роль в обеспечении потребностей как общества, организации, так и отдельного человека. Они принимают непосредственное участие в решении важных государственных, производственных и социальных задач. В связи с этим непрерывно возрастают и угрозы, связанные с использованием новых информационных технологий, что, в свою очередь, требует как развития теоретических основ информационной безопасности, так и разработки методик комплексного решения задач защиты корпоративных АИС и СЭД. Современная важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их безопасности, экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения. Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть целый ряд объективных причин (рис 1.1).
 Рис. 1.1. Схема основных причин повышения остроты в проблеме обеспечения безопасности Проблемы безопасности ЛВС Преимущества использования СЭД сопряжены с дополнительным риском, который приводит к увеличению проблемам безопасности ЛВС. Распределенное хранение файлов. Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы. Это обычно осуществляется разрешением пользователю присоединить некоторую файловую систему (или каталог) к рабочей станции пользователя для дальнейшего использования в качестве локального диска. В связи с этим возникают две потенциальные проблемы. Во-первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешен доступ к каталогу, то он получает доступ ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в этой ситуации, важно соответствующим образом структурировать и управлять файловой системой ЛВС. Следующая проблема заключается в неадекватных механизмах защиты локальной рабочей станции. Например, персональный компьютер (ПК) может обеспечивать минимальную защиту или не обеспечивать никакой защиты информации, хранимой на нем. Копирование пользователем файлов с сервера на локальный диск ПК приводит к тому, что файл перестает быть защищенным теми средствами защиты, которые защищали его, когда он хранился на сервере. Для некоторых типов информации это может быть приемлемо. Однако другие типы информации могут требовать более сильной защиты. Эти требования фокусируются на необходимости контроля среды ПК. Удаленные вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям. Серверы должны обладать способностью аутентифицировать удаленные пользователи, запрашивающие услуги или приложения. Эти запросы могут также выдаваться локальными и удаленными серверами для взаимной аутентификации. Невозможность аутентификации может привести к тому, что и неавторизованные пользователи будут иметь доступ к удаленным серверам и приложениям. Должны существовать некоторые гарантии в отношении целостности приложений, используемых многими пользователями через ЛВС. Топологии и протоколы, используемые сегодня, требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. (В больших ЛВС прямые связи неосуществимы.) Вытекающие из этого возможные угрозы включают как активный, так и пассивный перехват сообщений, передаваемых в линии. Пассивный перехват включает не только чтение информации, но и анализ трафика (использование адресов, других данных заголовка, длины сообщений и частоты сообщений). Активный перехват включает изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов). Службы обмена сообщениями увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения. |