Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Общие проблемы безопасности информации
Важной задачей сертификационных испытаний АИС является обеспечение социальной, экономической, экологической, и военно-стратегической безопасности ценной и конфиденциальной информации в: 1. государственных и частных предприятиях; 2. органах государственного управления; 3. банковской и биржевой инфраструктурах. Решение этой задачи тесно связано с общей проблемой обеспечения высокого качества функционирования АИС. Основы, регламентирующие защиту информации в открытых системах, изложены в следующих нормативных документах: - ISO 7498 - "Взаимосвязь открытых систем. Базовая эталонная модель. 4.2: Архитектура защиты информации"; - ISO 11586 - "ВОС. Общая защита информации на верхних уровнях. 4.1: Общий обзор, модели и нотации. 4.2: Определение услуг, обеспечиваемых сервисным элементом обмена методами защиты. 4.3: Спецификация протокола сервисного элемента обмена методами защиты на прикладном уровне. 4.4: Спецификация синтаксиса передачи защиты, относящейся к уровню представления, для обеспечения услуг защиты на прикладном уровне"; - ISO 10181-1-15 - "ВОС. Основы защиты информации в открытых системах" и др. Проблемы защиты имущественных прав на информацию возникли в связи с превращением информации в объект собственности. В результате сформировались следующие цели защиты информации в АИС: - предотвращение несанкционированного доступа к базам данных (т.е. утечки, хищения, утраты, уничтожения, искажения, модификации, копирования и блокирования информации); - сохранение полноты, достоверности, целостности информации и программ обработки, установленных собственником или уполномоченным им лицом; - обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в базах данных; - сохранение секретности, конфиденциальности информации в соответствии с действующим законодательством; - соблюдение прав авторов программной и информационной продукции, используемой в информационных системах; - конфиденциальность информации - обеспечение доступа к засекреченной информации только тому, кому она предназначена; - целостность информации - точность, достоверность и полнота информация, на основе которой принимаются важные решения, ее защищенность от возможных непреднамеренных и злоумышленных искажений;
- защита информации от несанкционированного доступа и модификации - разграничение функциональных полномочий и доступа к информации с целью сохранения трех основных свойств защищаемой информации: конфиденциальности, целостности, готовности. В соответствии со сложившимися отраслевыми структурами и видами информационной собственности в практической деятельности по применению мер и средств защиты информации выделились следующие самостоятельные направления: защита информации от несанкционированного доступа; - защита юридической значимости электронных документов; - защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ; - защита от несанкционированного копирования и распространения программ и ценной компьютерной информации. Для объективной оценки качества защищенности информационных систем общепринятым является подход, основанный на методе экспертной оценки совокупности функциональных и качественных характеристик ИТ, зафиксированных в соответствующих национальных и международных стандартах. Одним из наиболее сложных вопросов сертификации защищенности является подтверждение невозможности "прокола" информационной системы со стороны пользовательских программ. Для этого необходимо использовать трудоемкие и дорогостоящие методы разработки "доказательно корректных" программных средств и методы формальной сертификации программ. При классификации и выборе методов и средств сертификации информационных технологий следует учитывать определенный набор классов комплексной защищенности АИС, зависящих от характеристик уязвимости, ценности и секретности информации, функциональных особенностей конкретных систем. Для этих классов должны быть сформулированы требования к совокупности функций и составу соответствующих средств защиты, а также требования к методам и средствам сертификации их корректности и эффективности. Повышению сложности задач, решаемых АИС, непосредственно сопутствует увеличение используемой памяти и производительности вычислительных средств, а также рост энтропии (неопределенности в среде функционирования) и уязвимости сложных информационных систем. В ряде сфер применения информационных систем, составляющих критические области приложений, недостаточная их защищенность от ошибок проектирования, собственных аномалий и саморазрушения могут приводить в процессе использования к катастрофическим последствиям.
Возникает проблема обеспечения технологической безопасности информационных систем, программных средств и баз данных. Технологическая безопасность - система методов и средств предотвращения и выявления непредумышленных угроз безопасности функционирования при случайных, дестабилизирующих воздействиях и отсутствии злоумышленного влияния на АИС, а также снижения воздействия этих угроз до допустимого уровня, который определяется соответствующими нормативно-техническими документами. Одним из методов обеспечения технологической безопасности баз данных является информационная избыточность - дублирование части используемых в АИС данных, которые в наибольшей степени влияют на ее нормальное функционирование и требуют значительного времени восстановления при разрушении. Создание открытых и территориально распределенных систем существенно усложнило и ускорило необходимость системного решения этой проблемы. При этом следует учитывать возможность предумышленной негативной модификации программ и данных отдельными специалистами, участвующими в создании или сопровождении АИС, по заданию конкурирующих или враждебных организаций. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения АИС. Возрастание важности и ответственности задач, решаемых АИС, сопровождается увеличением их уязвимости от предумышленных, внешних воздействий с целью использования или разрушения информации (программ), которые по своему содержанию предназначены для применения ограниченным кругом лиц. Это требует обеспечения внешней безопасности функционирования АИС в процессе эксплуатации. В этом случае происходит противоборство внешних злоумышленников, стремящихся использовать или исказить информацию, и средств обеспечения безопасности функционирования АИС. Для решения этой проблемы созданы и активно развиваются методы, средства и стандарты защиты программ и данных от любых негативных внешних воздействий. Становится реальностью возможность нанесения огромного ущерба обществу и потребителям информации в процессе функционирования критических АИС при очень малых затратах на искажение, уничтожение или кражу информации или программ. Проблемы усугубляются в связи с превращением информации БД и программ в объект собственности и с необходимостью защиты имущественных прав от незаконных посягательств. Потенциальная возможность и реальные проявления информационных диверсий заставляют активизировать исследования, разработки и совершенствование методов и средств обеспечения защиты и безопасности. Их реализация требует значительных ресурсов памяти и производительности вычислительных систем, зачастую соизмеримых или даже больших, чем используемые для решения функциональных задач.
Таким образом, высокая уязвимость ИС от случайных и предумышленных отрицательных воздействий выдвинула эти проблемы в разряд важнейших, стратегических, определяющих принципиальную возможность и эффективность применения ряда АИС в народном хозяйстве и военной технике. Становится реальным противоборство не только отдельных лиц и организаций, но и информационная борьба, а потенциально и война, между государствами. В результате, техническая проблема защиты программ и данных вырастает до уровня национальных, государственных проблем, для решения которых необходимы законодательные, организационные, технологические мероприятия и проведение работ по стандартизации в области безопасности АИС. Методы и средства защиты целесообразно структурировать по компонентам АИС и по функциям или направлениям задач защиты. Типовые компоненты АИС существенно различаются уязвимостью для оперативных, негативных внешних воздействий, а также влиянием на качество функционирования АИС. Меньше всего уязвимы методы и средства разработки и сопровождения программ и БД. Тем не менее, следует оценивать и учитывать возможность их разрушения или несанкционированного использования. Наибольшее внимание специалистов должно быть сосредоточено на методах и средствах защиты коммуникации данных, а также на защите функциональных прикладных программ и информации баз данных в процессе эксплуатации АИС. Весьма уязвимыми являются интерфейсы операционных систем и приложений с внешней средой. При проектировании систем обеспечения безопасности сложных критических АИС необходимо оценивать уязвимость их компонентов для различных негативных воздействий и степень влияния на основные характеристики АИС. В зависимости от этого следует распределять ресурсы средств защиты для создания системы, равнопрочной по безопасности функционирования при любых внешних воздействиях.
|
|||||||
Последнее изменение этой страницы: 2021-03-09; просмотров: 163; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.15.229.113 (0.017 с.) |